{"id":16713,"date":"2019-11-29T09:02:26","date_gmt":"2019-11-29T15:02:26","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=16713"},"modified":"2019-11-29T09:02:26","modified_gmt":"2019-11-29T15:02:26","slug":"kaspersky-products-fixed","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/kaspersky-products-fixed\/16713\/","title":{"rendered":"Seguridad en los productos de seguridad de Kaspersky"},"content":{"rendered":"<p>Somos desarrolladores de <em>software<\/em>, lo cual significa que somos humanos (al menos hasta ahora). Y todos los humanos se equivocan. Por ello, no encontrar\u00e1s a ning\u00fan desarrollador de <em>software<\/em> en todo el mundo cuyos productos no contengan defectos o errores. En pocas palabras: los errores (<em>bugs<\/em>) se dan, son algo normal.<\/p>\n<h2><strong>Se buscan cazadores de errores<\/strong><\/h2>\n<p>Lo que no es normal es que no se intenten buscar y solucionar estos errores. Por ello, en Kaspersky nos esforzamos enormemente en este \u00e1mbito. Eliminamos la mayor\u00eda de las <strong>vulnerabilidades<\/strong> de nuestros productos de seguridad durante varias etapas de pruebas internas y contamos con un programa de pruebas en el que participan muchas personas (incluido nuestro querido <a href=\"https:\/\/www.kasperskyclub.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Club<\/a>). Adem\u00e1s, tambi\u00e9n hemos implementado el ciclo de desarrollo seguro. Todo esto ayuda a minimizar el n\u00famero de errores y vulnerabilidades en los productos de seguridad.<\/p>\n<p>No obstante, no importa lo rigurosas que sean las medidas, siempre se cuela alg\u00fan error, por muy peque\u00f1o que sea. De hecho, ning\u00fan producto de <em>software<\/em> del mundo puede librarse por completo de ellos durante la etapa preventiva. Por ello, no solo seguimos inspeccionando los productos de seguridad y antivirus atentamente despu\u00e9s de nuestros lanzamientos, sino que tambi\u00e9n animamos a los investigadores independientes a que analicen nuestros productos y nos informen. Esto incluye la creaci\u00f3n de nuestro <a href=\"https:\/\/hackerone.com\/kaspersky\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">programa <em>bug bounty<\/em><\/a> junto con HackerOne, que ofrece una recompensa de hasta 100,000 euros por la denuncia de errores, y la creaci\u00f3n de un Safe Harbor para los investigadores con <a href=\"http:\/\/disclose.io\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Disclose.io<\/a>. Invitamos a todos los investigadores a divulgar, independientemente del canal de comunicaci\u00f3n, cualquier error o vulnerabilidad que encuentren en nuestros servicios.<\/p>\n<p>Por ello, hoy queremos agradecer a Wladimir Palant, un investigador de seguridad independiente, por informarnos sobre varias vulnerabilidades en algunos de nuestros productos de seguridad. A continuaci\u00f3n, te contamos los errores que descubri\u00f3 Palant, c\u00f3mo los solucionamos y cu\u00e1l es el estado actual de nuestros productos.<\/p>\n<h2><strong>Identificados y solucionados<\/strong><\/h2>\n<p>Para ofrecer una conexi\u00f3n segura a Internet, que incluya el <a href=\"https:\/\/latam.kaspersky.com\/blog\/google-chrome-ad-blocker-faq\/12515\/\" target=\"_blank\" rel=\"noopener\"><strong>bloqueo de anuncios<\/strong><\/a> y rastreadores y que te avise de los resultados de b\u00fasqueda maliciosos, utilizamos una extensi\u00f3n de navegador. Evidentemente, es posible que te niegues a instalar esta (o cualquier otra) extensi\u00f3n. Pero nuestra aplicaci\u00f3n no te dejar\u00e1 sin <strong>protecci\u00f3n en Internet<\/strong>, por lo que, si percibe que la extensi\u00f3n no est\u00e1 instalada, inyectar\u00e1 <em>scripts<\/em> en las p\u00e1ginas web que visites para supervisar las amenazas potenciales. En estos casos, se establece un canal de comunicaci\u00f3n entre el <em>script<\/em> y el cuerpo de la soluci\u00f3n de seguridad.<\/p>\n<p>La mayor parte de las vulnerabilidades de seguridad que descubri\u00f3 Palant se encontraban en este canal de comunicaci\u00f3n. En teor\u00eda, si un adversario atacara este canal, esto se podr\u00eda utilizar para controlar la aplicaci\u00f3n principal. Palant descubri\u00f3 el problema que afectaba a <strong>Kaspersky Internet Security 2019<\/strong> en diciembre del 2018 y nos inform\u00f3 mediante el programa <em>bug bounty<\/em>. Comenzamos a trabajar para solucionar el problema de inmediato.<\/p>\n<p>Otro de los hallazgos de Palant fue un <a href=\"https:\/\/latam.kaspersky.com\/blog\/exploits-problem-explanation\/5859\/\" target=\"_blank\" rel=\"noopener\"><strong><em>exploit<\/em><\/strong><\/a> potencial que utilizaba el canal de comunicaci\u00f3n entre la extensi\u00f3n del navegador y el producto para acceder a datos importantes como la versi\u00f3n de producto y de sistema operativo y el ID de producto de una <strong>soluci\u00f3n de seguridad de Kaspersky<\/strong>. Tambi\u00e9n solucionamos este problema.<\/p>\n<p>Por \u00faltimo, Ronald Eikenberg de la revista <em>c\u2019t<\/em> descubri\u00f3 una <a href=\"https:\/\/latam.kaspersky.com\/blog\/tracking-ids-bug\/15163\/\" target=\"_blank\" rel=\"noopener\"><strong>vulnerabilidad<\/strong><\/a> que divulgaba los identificadores \u00fanicos a los sitios web que visitaban los usuarios de los <strong>productos de Kaspersky<\/strong>. Tambi\u00e9n arreglamos esto en julio y en agosto ya hab\u00eda llegado a todos nuestros usuarios. Despu\u00e9s Palant hall\u00f3 otra vulnerabilidad del mismo tipo que hemos solucionado este noviembre del 2019.<\/p>\n<h3><strong>\u00bfPor qu\u00e9 utilizar esta tecnolog\u00eda?<\/strong><\/h3>\n<p>Estos <em>scripts<\/em> no son una pr\u00e1ctica poco com\u00fan en el mundo de los <a href=\"https:\/\/latam.kaspersky.com\/blog\/security-cloud-free\/15542\/\" target=\"_blank\" rel=\"noopener\"><strong>antivirus<\/strong><\/a>; no obstante, no los utilizan todos los proveedores. En nuestro caso, utilizamos tecnolog\u00eda de inyecci\u00f3n de <em>script<\/em> solo si no activas nuestra extensi\u00f3n de navegador. Te recomendamos que utilices la extensi\u00f3n. No obstante, aunque decidas no utilizarla, seguiremos poniendo todos nuestros esfuerzos para ofrecer una buena protecci\u00f3n y experiencia de usuario.<\/p>\n<p>Los <em>scripts<\/em> se utilizan principalmente para mejorar la experiencia del usuario (por ejemplo, ayudan a bloquear <em>banners<\/em>) pero, adem\u00e1s, tambi\u00e9n protegen a los usuarios contra los <strong>ataques con p\u00e1ginas web din\u00e1micas<\/strong>, que no se podr\u00edan detectar de otra forma si la extensi\u00f3n Kaspersky Protection est\u00e1 deshabilitada. Por otro lado, componentes como el <em>antiphishing<\/em> y el control parental dependen de los <em>scripts<\/em> para funcionar.<\/p>\n<p>Gracias a Wladimir Palant, pudimos mejorar de forma considerable la protecci\u00f3n del canal de comunicaci\u00f3n entre los <em>scripts<\/em> o el complemento y la p\u00e1gina principal.<\/p>\n<h3><strong>Construyendo juntos<\/strong><\/h3>\n<p>Ahora, todas las vulnerabilidades descubiertas se han cerrado y la superficie de ataque se ha estrechado considerablemente. Nuestros productos de seguridad y antivirus son seguros, ya los utilices con o sin la extensi\u00f3n de navegador <strong>Kaspersky Protection<\/strong>.<\/p>\n<p>Queremos agradecer a todos los que nos han ayudado a descubrir errores en los <strong>productos de seguridad de Kaspersky<\/strong>. En parte gracias a sus esfuerzos hemos conseguido que nuestras soluciones de seguridad sigan siendo <a href=\"https:\/\/latam.kaspersky.com\/top3\" target=\"_blank\" rel=\"noopener\">las mejores, como se ha demostrado en los diferentes laboratorios de pruebas independientes<\/a>, por lo que invitamos a todos los investigadores de seguridad a participar en nuestro <a href=\"https:\/\/hackerone.com\/kaspersky\" target=\"_blank\" rel=\"noopener nofollow\">programa <em>bug bounty<\/em><\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-top3\">\n<p>Nada es absolutamente seguro. No obstante, al trabajar de forma conjunta con los investigadores de seguridad, dar soluci\u00f3n a las vulnerabilidades lo antes posible y mejorar constantemente nuestras <strong>tecnolog\u00edas de seguridad<\/strong> podemos ofrecer a nuestros usuarios la protecci\u00f3n m\u00e1s fuerte del mercado contra todas las posibles amenazas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gracias a los investigadores de seguridad independientes, hemos solucionado varios problemas de seguridad, con lo cual protegemos a los clientes de forma autom\u00e1tica.<\/p>\n","protected":false},"author":2455,"featured_media":16715,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9],"tags":[2532,105,629,647],"class_list":{"0":"post-16713","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"tag-bug-bounty","9":"tag-kaspersky","10":"tag-productos","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kaspersky-products-fixed\/16713\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-products-fixed\/18269\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-products-fixed\/15160\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kaspersky-products-fixed\/19963\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-products-fixed\/18360\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-products-fixed\/20671\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kaspersky-products-fixed\/19416\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-products-fixed\/25773\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/kaspersky-products-fixed\/7423\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-products-fixed\/31475\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-products-fixed\/13718\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kaspersky-products-fixed\/11701\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kaspersky-products-fixed\/21578\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/kaspersky-products-fixed\/24842\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-products-fixed\/20715\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-products-fixed\/25575\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-products-fixed\/25413\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/productos\/","name":"productos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/16713","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2455"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=16713"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/16713\/revisions"}],"predecessor-version":[{"id":16714,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/16713\/revisions\/16714"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/16715"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=16713"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=16713"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=16713"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}