Internet Explorer es una de esas reliquias que aún siguen instaladas en Windows por defecto, aunque nadie la use. Hasta Windows 10, que ya tiene un navegador mucho más moderno instalado por defecto (Edge), sigue incluyendo Internet Explorer.
El motivo no es otro que compatibilidad. Aún hay muchas webs, especialmente de uso interno en empresas y gobiernos, que sólo funcionan con Internet Explorer. Por supuesto, no recomendamos usar IE aunque esté disponible; se trata de un navegador obsoleto que no sigue los estándares web y es potencialmente inseguro.
Un bug de Internet Explorer te pone en peligro, incluso si no lo usas
Pero incluso aunque no uses Internet Explorer, puedes sufrir de sus problemas. Es lo que ha descubierto el investigador John Page, que ha publicado los detalles de un ataque “0-day” que afecta a Internet Explorer; es decir, que Microsoft no conocía de la existencia del bug hasta que ha sido publicado.
Eso no es demasiado llamativo, lo realmente interesante es que este bug te afecta incluso si nunca has tocado Internet Explorer y usas otro navegador. El problema está en los archivos MHT, que IE usa para guardar páginas web en nuestro ordenador.
El investigador descubrió un método para usar un archivo MHT para acceder a nuestros archivos, aprovechándose de una vulnerabilidad propia de Internet Explorer. Aunque la mayoría de navegadores modernos es compatible con MHT, Internet Explorer es el programa por defecto para abrirlos en Windows.
Por lo tanto, si recibimos un archivo MHT, este se abrirá con Internet Explorer si no lo hemos cambiado (algo poco probable, teniendo en cuenta que muy poca gente conoce la existencia de este tipo de archivos). Un atacante podría obtener acceso a los archivos guardados en nuestro sistema si consigue que abramos un archivo MHT modificado; automáticamente se abrirá con Internet Explorer y aprovechará la vulnerabilidad.
El ataque se basa en una vulnerabilidad encontrada en la manera en la que Internet Explorer crea pestañas duplicadas y envía archivos a la impresora. Estas funciones se pueden automatizar, y también es posible deshabilitar el sistema de seguridad implementado en Internet Explorer para que no aparezca un aviso para el usuario.
Microsoft decide no solucionar el bug, por ahora
Por lo tanto, si recibimos un archivo MHT y lo abrimos, corremos el riesgo de que un atacante se haga con nuestros archivos; un ataque que funciona tanto en Windows 10 como en Windows 7 y las versiones de servidores.
Pero tal vez lo más grave es que Microsoft ha decidido no arreglar el problema por ahora. La compañía fue avisada el pasado marzo, pero decidió que no era tan grave como para precisar un parche urgente; por lo tanto, el bug será solucionado, pero en una futura actualización sin fecha aún. Ese es el motivo por el que el investigador ha decidido publicar el ataque 0-day aunque no esté solucionado, algo que normalmente se considera una mala práctica en el sector.
Por lo tanto, lo recomendable es no abrir nunca un archivo con extensión MHT si podemos evitarlo; especialmente si proviene de alguien que no conocemos. Incluso si tenemos que abrirlo, lo recomendable es escanearlo con un antivirus actualizado antes.