Es posible que haya visto una notificación de que las cosas están cambiando en su bandeja de entrada. A partir de febrero de 2017, Gmail cambió su política con respecto a JavaScript. He aquí por qué esto está cambiando y cómo puede protegerse de JavaScript malicioso.
¿Qué es JavaScript, de todos modos?
JavaScript (que no debe confundirse con Java , un lenguaje de programación independiente con un nombre similar) no es intrínsecamente peligroso o malicioso; de hecho, esta página que está leyendo ahora usa JavaScript, como la mayoría de las páginas web modernas. JavaScript es un lenguaje de programación que se almacena en texto plano y se ejecuta mediante varios programas , incluidos los navegadores web. Esto difiere de los programas escritos en texto plano y compilados para ejecutarse como un «binario», como la mayoría de los programas instalados en su PC .
JavaScript ha existido desde mediados de los 90. Este importante lenguaje tuvo su primera versión creada en tan solo 10 días por Brendan Eich para su uso en la primera versión de Netscape Navigator. Un logro importante, Eich se convirtió en el cofundador y CTO de Mozilla, la compañía que administra Firefox . Todos los navegadores web modernos pueden ejecutar JavaScript, lo que agrega complejidad y lógica de programación al diseño web que no era posible con HTML simple.
Debido a que tanta gente necesitaba JavaScript en la creciente web de los años 90 y principios de los 2000, su popularidad entre los programadores aumentó exponencialmente. Actualmente, es probablemente el idioma más popular en la web .
Con la explosión de la popularidad de JavaScript y la creciente complejidad de la web, Google lanzó su navegador Chrome y V8, un motor de código abierto para ejecutar eficientemente código JavaScript. Con su lanzamiento en 2008, aceleró la velocidad de carga de las páginas web y JavaScript, y dio lugar a más usos al año siguiente.
Los desarrolladores inteligentes tomaron el motor V8 del proyecto Chrome y lanzaron una aplicación del lado del servidor llamada Node.js en 2009 . Esto permitió que un servidor hiciera cosas como almacenar y recuperar archivos y servir páginas web, pero usando solo JavaScript. Esto significa que los desarrolladores pueden usar su conocimiento ya existente de JavaScript y no tienen que aprender nuevos idiomas. Node ha comenzado a reemplazar PHP y Python para muchas aplicaciones y sitios web nuevos, y su popularidad entre los desarrolladores sigue creciendo .
¿Por qué Gmail lo bloquea?
Debido a que JavaScript está en todas partes, puede asumir que puede ser ejecutado por un trillón de cosas. Mucha gente puede escribirlo y puede ser explotado. Esto no lo hace peor que las macros de MS Office o los archivos adjuntos de correo electrónico, pero tiene el potencial de ser mal utilizado.
Los expertos en seguridad han notado una tendencia de más malware escrito en JavaScript . A menudo, estos se envían por correo electrónico, disfrazados como un currículum o un mensaje de phishing dirigido a empresas, o un reclamo de que el archivo adjunto «rastreará un pedido reciente». Se trata de un tipo de inyección de software malintencionado «troyano» (o simplemente «troyano»), porque necesita que un usuario desprevenido descargue, abra, ejecute o instale fragmentos de código malicioso.
Una tendencia reciente aterradora de los últimos años es el ransomware . Dado el acceso a su computadora, un programa de JavaScript puede instalar software para convertir sus archivos importantes en un galimatías ilegible a través de un proceso llamado Cifrado , lo que le obliga a pagarle a alguien al otro lado del mundo para recuperar los archivos que solían ser suyos.
Google mantiene una lista de tipos de archivos comunes utilizados por los creadores de malware y Gmail los bloquea. Debido al aumento de este tipo de malware, el tipo de archivo JavaScript se ha agregado a esa lista . Es poco probable que esto cause problemas a la mayoría de los usuarios, la notable excepción es que eres un desarrollador que intenta enviar un archivo llamado «functions.js» a un compañero de trabajo. En este caso, es posible que deba compartir a través de Google Drive u otras soluciones para compartir archivos. Pero la mayoría de los usuarios probablemente no notarán ninguna diferencia.
JavaScript no asusta en lo más mínimo, pero puede hacer mucho daño a tu computadora si no tienes cuidado. Así que centremos nuestra atención en lo que puede hacer para mantenerse a salvo.
¿Cómo puedo protegerme?
Windows se ha vuelto más vulnerable a este tipo de ataques, en parte debido al programa del lado del usuario Windows Script Host, que puede ejecutar archivos JavaScript y dañar potencialmente su sistema, es decir, si lo permite.
Este es un método fácil para evitar eso, sin deshabilitar los scripts por completo. Puede configurar Windows para abrir archivos .JS con un programa que no ejecuta código: el Bloc de notas. Así es cómo.
Abra el Bloc de notas haciendo clic en el menú Inicio y escribiendo Bloc de notas.
Con un archivo en blanco abierto, diríjase a Archivo> Guardar como. Guarde el documento en blanco abierto en su escritorio como Blank.js
, asegurándose de eliminar la extensión de archivo .txt.
Cierre el Bloc de notas. Haga clic con el botón derecho en el archivo .JS falso que acaba de crear y busque «Abrir con» en el menú contextual. Haga clic en «Elegir otra aplicación».
Elija «Bloc de notas» de la lista y asegúrese de que la casilla de verificación junto a «Abrir siempre con» esté marcada.
Ahora, cualquier archivo JavaScript malicioso que abra accidentalmente se abrirá inofensivamente en el Bloc de notas.
También puede deshabilitar Windows Script Host de forma predeterminada para su computadora, asegurándose de que cualquier tipo de código que ejecute, ya sea bueno o malo, no se pueda ejecutar sin habilitarlo nuevamente. Esto puede ser excesivo, pero es algo razonable para mantener segura la computadora de un ser querido. Este es un método recomendado por Microsoft sobre cómo deshabilitar por completo Windows Script Host .
Por supuesto, nunca olvide lo básico: nunca abra archivos adjuntos de correo electrónico de remitentes desconocidos o que no sean de confianza, o de remitentes conocidos si el correo electrónico parece sospechoso o confuso . Simplemente hacer esto reducirá el riesgo de todo el código troyano malicioso a casi nada, ya que la mayoría proviene de spam o cuentas de correo electrónico secuestradas.
Y eso es más o menos todo lo que necesita saber para mantenerse a salvo de cualquier parte defectuosa de JavaScript. Aunque a partir del 13 de febrero, no tendrá que preocuparse de que estos archivos se envíen a su dirección de Gmail, porque el tipo de archivo se bloqueará por completo.