Navegación segura en Brave Seguir
Brave Browser utiliza Google Safe Browsing para proteger a los usuarios de sitios maliciosos. Está activado por defecto en todas las plataformas, pero se puede desactivar en cualquier momento desde el menú de configuración del navegador.
La Navegación Segura ofrece protección en tres áreas:
- Sitios web: bloquea los sitios de phishing, así como los que alojan malware o software no deseado
- Descargas: bloquea el software peligroso, poco común o potencialmente no deseado (sólo para escritorio).
- Extensiones del navegador: impide que descargues extensiones maliciosas, vulnerables o que violen las políticas, y desactiva las que ya estén instaladas (sólo para escritorio).
Google trabaja para proporcionar la información más precisa y actualizada sobre recursos web inseguros. Sin embargo, Google no puede garantizar que su información sea exhaustiva y esté libre de errores: es posible que no se identifiquen algunos sitios de riesgo y que algunos sitios seguros se identifiquen por error.
Un sistema que preserva la privacidad
La Navegación Segura en Brave tiene las siguientes propiedades de privacidad:
- Las URL nunca se envían al servidor operado por Google.
- La inmensa mayoría de las visitas a un sitio web no conducen a peticiones al servidor.
- En el escritorio, el navegador no se conecta directamente al servidor, sino que lo hace a través de un servidor proxy operado por Brave, de modo que los servidores de Google nunca vean tus direcciones IP.
El núcleo de la Navegación Segura son las listas de sitios o archivos peligrosos. En lugar de enviar URL completas a un servidor, el protocolo está estructurado de modo que la mayor parte de estas comprobaciones se realicen localmente utilizando listas descargadas del servidor de Navegación Segura.
Cuando un usuario visita un sitio web con una URL de phishing.ejemplo/
:
- El navegador convertirá la URL en
bac52b0b455d4b0435379a9cb61d43cd54bcd0f17ff0a5477b2598373fd7b997
utilizando la función hash SHA-256. - Luego truncará este “hash” a
bac52b0b
y lo buscará en su copia local de las listas de Safe Browsing. - Si este prefijo hash se encuentra en una lista (y solo en ese caso), el navegador pedirá al servidor de Safe Browsing la lista de todos los hashes de tamaño completo que comienzan con ese prefijo (solo se envía el prefijo, no el hash completo).
- Finalmente, el navegador comparará el hash de la URL del sitio web con los hashes completos que acaba de recibir y mostrará una página de advertencia en caso de coincidencia.
Las listas se actualizan aproximadamente cada 30 minutos, comenzando aleatoriamente en algún momento dentro de los primeros 5 minutos después de iniciar el navegador. Todos los usuarios reciben las mismas listas. Las listas se consideran válidas durante 45 minutos, y se ignoran automáticamente si no se han actualizado pasado ese tiempo. Puedes encontrar estas listas, junto con el estado y la hora de la última actualización, en brave://safe-browsing/#tab-db-manager
.
Puedes encontrar más detalles técnicos en la entrada del blog de Seguridad de Google sobre la navegación segura basada en hash, y en la documentación pública para desarrolladores.
Protecciones específicas de la plataforma
He aquí cómo se aplican estas protecciones en cada plataforma.
Escritorio
En todos los casos, Brave se basa en la implementación de Navegación Segura que forma parte de Chromium para proporcionar estas protecciones. También utiliza las mismas listas y servicios subyacentes que Chrome.
Nota: Los avisos de Safe Browsing están actualmente deshabilitados en ventanas privadas con Tor.
Sitios web
La protección de navegación se parece a esto cuando detecta un sitio de phishing:
Esa advertencia se puede evitar haciendo clic en Detalles
y luego en visitar este sitio inseguro
:
Esta función se puede probar usando la sección “Avisos de páginas web” de la página oficial de prueba de Google.
Descargas
La protección de descarga se parece a esto cuando detecta un archivo peligroso:
Esta advertencia se puede evitar desde brave://downloads
haciendo clic en Guardar archivo peligroso
:
Además de las comprobaciones basadas en la URL descritas en la sección anterior, los archivos descargados se someten a una segunda comprobación después de que el navegador los haya descargado completamente, pero antes de ponerlos a disposición del usuario. Esta comprobación consiste en enviar metadatos sobre el archivo descargado (pero no el archivo en sí) a un servicio de reputación de aplicaciones operado por Google. Este servicio devuelve un veredicto que determina qué advertencia (si la hay) se mostrará al usuario.
Mientras que las implementaciones de Chrome y Firefox de esta función envían el nombre del archivo, la URL del archivo descargado y cualquier URL de las páginas que llevaron allí, Brave ha hecho un compromiso diferente entre seguridad y privacidad y no envía ninguna de esta información al servidor. La principal información que el navegador Brave envía al servidor operado por Google es la función hash del archivo, lo cual solo revela información sobre archivos que Google ya conoce. Al igual que con todas las demás solicitudes de red de Safe Browsing en la versión de ordenador de escritorio de Brave, estas llamadas se envían a través de un proxy operado por Brave para ocultar tus direcciones IP.
Ten en cuenta que solo ciertos tipos de archivos pasan por la segunda verificación y tienen sus metadatos enviados al servidor de reputación de la aplicación. Esta determinación es específica de la plataforma y se basa en el riesgo asociado a cada tipo de archivo. El componente Políticas de tipo de archivo indica al navegador cómo tratar los distintos tipos de archivo basándose en una lista que el equipo de Chrome actualiza periódicamente.
Esta función se puede probar utilizando la sección "Avisos de descarga de escritorio" de la página oficial de pruebas de Google.
Extensiones del navegador
Este es el aspecto de una extensión bloqueada:
Actualmente no se puede eludir esta protección.
Además de las comprobaciones de protección de descargas descritas en la sección anterior, cualquier extensión del navegador que instales se somete a una comprobación adicional. Esta última comprobación consiste en cotejar el ID de extensión con una lista local de prefijos de ID de extensión. En caso de coincidencia de prefijo, se solicitan los ID de extensión completos de ese prefijo a un servicio de reputación operado por Google. Este servicio devuelve un veredicto por cada extensión de la lista. Determina qué advertencia (si la hay) se mostrará al usuario, y si se permitirá o no la ejecución de la extensión. Esta petición de red también se proxy a través de un servidor Brave.
La comprobación del ID de la extensión tiene lugar cuando se carga la extensión, lo que suele ocurrir inmediatamente después de descargarla, y después cada vez que se reinicia el navegador. Esto significa que una extensión instalada que más tarde sea marcada como maliciosa por Google puede ser desactivada a posteriori.
Por desgracia, de momento no hay una forma fácil de probar esta función. Consulta nuestra documentación wiki para más detalles.
Android
En Android, Safe Browsing ofrece la misma protección de sitios web que en el ordenador de escritorio, aunque con una lista más pequeña de sitios de phishing. La lista más pequeña significa que no todos los sitios de phishing bloqueados en el ordenador de escritorio serán bloqueados en Android.
Así es como se ve la protección de navegación en Android cuando detecta un sitio de phishing. Al igual que en el ordenador de escritorio, esta advertencia puede ser ignorada haciendo clic en Detalles
y luego visitar este sitio no seguro
:
A diferencia del navegador de escritorio (que descarga y mantiene sus propias listas), la versión de Brave para Android utiliza un servicio proporcionado por el sistema operativo. En concreto, utiliza la API SafetyNet de Google Play y listas en el dispositivo que comparten todas las aplicaciones que realizan comprobaciones de Navegación Segura. Actualmente, los dispositivos Android sin Google Play Services no pueden activar la Navegación Segura en Brave.
La comprobación de una URL con respecto a las listas locales de Navegación Segura sigue los mismos pasos que con el navegador de escritorio, ya que la API de SafetyNet también hace uso de la API de Actualización de Navegación Segura. La única diferencia es que cualquier petición del servicio del sistema operativo al servidor de Navegación Segura (proceda o no de la aplicación Brave) se realiza directamente y no pasa por un proxy de Brave. Esto significa que tu dirección IP puede ser vista (y registrada) por Google.
Esta función se puede probar utilizando las secciones “Advertencias de Página Web” o “Advertencias de iOS” de la página de prueba oficial de Google.
La protección de descarga no está disponible en plataformas móviles. Los dispositivos Android, en cambio, dependen de Google Play Protect.
iOS
Así se ve la protección de la navegación cuando detecta un sitio de phishing. Esta advertencia se puede evitar haciendo clic en Mostrar detalles
y luego en visitar este sitio no seguro
:
Al igual que en Android, las protecciones de Navegación Segura en iOS las proporciona un servicio del sistema operativo a través de un ajuste de WKWebView. De este modo, las solicitudes realizadas al servidor de Safe Browsing son iniciadas por el proveedor del sistema operativo y no pueden ser articuladas por Brave.
Los dispositivos Apple usan los servicios de Safe Browsing de Google y Tencent según la región. En las versiones recientes de iOS, estas solicitudes serán proxy por Apple. Esto significa que tu dirección IP puede ser vista (y registrada) por Apple, Google o Tencent.
En los dispositivos que utilizan el servicio de Google, esta función se puede probar usando la sección “Advertencias IOS” de la página de prueba oficial de Google.
Comparación con otros navegadores
La protección de sitios web en Brave para ordenadores de escritorio o Android es equivalente a las protecciones que se encuentran en Firefox, Safari y Chrome. Ten en cuenta que no exponemos el modo de protección mejorada que Google ofrece sólo a los usuarios de Chrome (previa solicitud).
Brave en iOS ofrece la misma protección de sitios web que Safari o cualquier aplicación basada en WKWebView (como Firefox) que active esta opción.
La protección contra descargas en Brave es más limitada que la de Chrome y Firefox debido a que no enviamos ninguna URL al servidor, por lo que esta información no puede utilizarse para determinar el riesgo asociado a un archivo determinado. En la práctica, esto significa que Chrome y Firefox bloquearán más archivos maliciosos que Brave.
La protección de extensiones de Brave es la misma que la de Chrome.
Exclusión de la Navegación Segura
Si prefieres no utilizar la Navegación Segura, simplemente visita brave://configuración/seguridad
en tu navegador de escritorio para cambiar la configuración a Sin protección (no recomendado)
:
En Android, abre el menú de configuración del navegador y pulsa Escudos de Brave & Privacidad
, luego establece la opción Navegación segura
en Sin protección (no recomendado)
:
En iOS, abre el menú de configuración del navegador y pulsa Escudos de Brave & Privacidad
, luego desactiva Bloquear Sitios Peligrosos
: