ES2947385T3 - Método y sistema para controlar la seguridad de los usuarios que navegan por Internet - Google Patents

Método y sistema para controlar la seguridad de los usuarios que navegan por Internet Download PDF

Info

Publication number
ES2947385T3
ES2947385T3 ES19382098T ES19382098T ES2947385T3 ES 2947385 T3 ES2947385 T3 ES 2947385T3 ES 19382098 T ES19382098 T ES 19382098T ES 19382098 T ES19382098 T ES 19382098T ES 2947385 T3 ES2947385 T3 ES 2947385T3
Authority
ES
Spain
Prior art keywords
control
web page
user
security
requested
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19382098T
Other languages
English (en)
Inventor
Garcia Victor Manuel Mundilla
Aruna Prem Bianzino
Cebrian Jose Maria Alonso
Los Santos Vilchez Sergio De
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonica Cybersecurity and Cloud Tech SL
Original Assignee
Telefonica Cybersecurity and Cloud Tech SL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonica Cybersecurity and Cloud Tech SL filed Critical Telefonica Cybersecurity and Cloud Tech SL
Application granted granted Critical
Publication of ES2947385T3 publication Critical patent/ES2947385T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Se proporciona un método y sistema para controlar la seguridad de los usuarios que navegan por Internet. Un dispositivo de control (120) recibe, a través de un primer canal de comunicación, una solicitud de página web de un agente de control (102) implementado en un navegador (101), estando instalado el navegador (101) en un dispositivo informático operado por un usuario. A continuación, el dispositivo de control (120) solicita, a un servicio de control (130), a través de un segundo canal de comunicación, un nivel de seguridad de dicha página web solicitada incluyendo un estado del usuario y la presencia de riesgos en la página web solicitada. El servicio de control (130) realiza un control de seguridad sobre dicha página web solicitada comprobando si la página web solicitada está incluida en una lista negra o lista blanca y también comprobando determinados criterios de control de riesgo de la página web solicitada. Finalmente, en respuesta a la recepción de un resultado de dicho control de seguridad, (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método y sistema para controlar la seguridad de los usuarios que navegan por Internet
Campo técnico
Esta invención se refiere a un método y sistema correspondiente para controlar la seguridad de los usuarios que navegan por Internet, en tiempo real.
Antecedentes de la invención
Hoy en día Internet ofrece un acceso prácticamente ilimitado a información y entretenimiento. La mayoría de las veces, los usuarios acceden a dicha información y entretenimiento a través de navegadores, exponiéndose a una gran variedad de riesgos, que van desde ataques de seguridad, exposición de datos y recursos sensibles personales o empresariales, hasta tiempo o coerción para algunas acciones.
Los usuarios tienen un grado de conciencia realmente bajo de los riesgos a los que se enfrentan cuando navegan por Internet. Al mismo tiempo, todo tipo de ejecución con respecto al conocimiento del usuario suele ser visto por el usuario como un inconveniente, y los usuarios tienden a aceptar siempre cualquier tipo de notificación/advertencia sin leerla, hasta el punto de que se ha diseñado un programa informático ("software") específico para evitar mensajes de advertencia. Al final, los usuarios tienden a hacer lo que se les indica que hagan, incluso si no son conscientes de los resultados, exponiéndose, por lo tanto, a más riesgos.
En este contexto, están disponibles diferentes soluciones para controlar el acceso a Internet de un usuario, que generalmente tienen como objetivo el Control Parental. Las soluciones disponibles generalmente definen criterios estáticos para diferenciar el contenido y las operaciones disponibles para un usuario (finalmente partiendo de bases de datos externas), y generalmente ofrecen una decisión estática sobre la solicitud. En los casos en los que interviene un usuario de control, se le solicita una decisión no informada/no soportada.
En el campo se conocen algunas patentes y solicitudes de patentes.
El documento US 2013017806 A1 divulga un sistema para controlar el acceso a Internet de un dispositivo móvil (control parental), que permite que otro dispositivo móvil (el controlador) establezca criterios para que el usuario navegue, incluyendo la ubicación y el momento del día/semana. A diferencia de la presente invención, esta solución solo tiene como objetivo los dispositivos móviles como dispositivos controlados. Esta solución solo tiene como objetivo el control parental y no la seguridad de un usuario genérico al navegar por Internet. Esta solución no es interactiva y no permite un control en tiempo real sobre los dispositivos controlados y su actividad.
El documento US 8571538 B2 proporciona un sistema para generar dinámicamente un control parental basado en la comunidad para dispositivos celulares basado en la configuración de control parental más común seleccionada por los miembros de la comunidad. Los criterios para controlar el acceso del dispositivo controlado pueden basarse en diferentes perfiles, los cuales se construyen partiendo de los perfiles promedio de control parental presentes en la comunidad. El controlador (padre/madre) puede seleccionar uno de los conjuntos de criterios "de la comunidad" disponibles y editarlo. Los conjuntos de criterios de la comunidad se actualizan constantemente partiendo de las elecciones de los controladores que forman parte de la comunidad. Esta solución solo tiene como objetivo los dispositivos móviles como dispositivos controlados. Esta solución solo tiene como objetivo el control parental y no la seguridad de un usuario genérico al navegar por Internet. Esta solución no es interactiva y no permite un control en tiempo real sobre los dispositivos controlados y su actividad, aunque permita cambios en la configuración de criterios por parte del controlador.
El documento US 2015365379 A1 proporciona un sistema para aprender mediante inteligencia artificial una lista de contenido de IP permitido en uno o más dispositivos conectados a Internet mediante la implementación de un medio de control parental inteligente. El medio incluye un enrutador y un filtro. El filtro se implementa en el enrutador que conecta el dispositivo a Internet. Partiendo de un período de aprendizaje, el sistema aprende cuáles son los contenidos permitidos para navegar. Esto genera una lista blanca, que posteriormente puede ser modificada por el controlador a través de otro dispositivo conectado al enrutador. A diferencia de la presente invención, esta solución solo tiene como objetivo el control parental y no la seguridad de un usuario genérico cuando navega por Internet. Esta solución no es interactiva y no permite un control en tiempo real sobre los dispositivos controlados y su actividad, aunque el controlador reciba alertas en tiempo real si el dispositivo controlado está intentando acceder a un contenido denegado por la política. Aun así, la alerta se basa en la política y no dinámicamente en el contenido, solo permite controlar el contenido y los riesgos conocidos.
El documento US 20150347769 A1 define una jerarquía entre los usuarios. Los usuarios de un nivel jerárquico inferior deben solicitar permiso a los usuarios de un nivel jerárquico superior para acceder a contenidos de Internet "restringidos" (o realizar otras operaciones restringidas). El controlador puede ignorar la solicitud u otorgar permiso. Esta solución solo contempla el caso en que los diferentes dispositivos involucrados sean utilizados por diferentes usuarios finales. Las restricciones para realizar operaciones para el usuario controlado se definen en función del tipo de operación (por ejemplo, compra, acceso a un tipo específico de contenido, etc.), sobre una base estática, y no se analizan en tiempo real.
El documento US 2016014043 A1 proporciona un sistema para la aprobación de acceso a la red interactiva que incluye un servidor, una primera aplicación que se ejecuta en un primer dispositivo para solicitar acceso a un sitio web en la red y una segunda aplicación que se ejecuta en un segundo dispositivo para aprobar el acceso al sitio web. El servidor recibe una solicitud a través de la primera aplicación para acceder al sitio web, transmite inmediatamente la solicitud a la segunda aplicación, recibe a través de la segunda aplicación la aprobación para acceder al sitio web e inmediatamente otorga acceso al sitio web a la primera aplicación.
Por lo tanto, se necesitan nuevas técnicas/soluciones para el control de la seguridad en tiempo real de la navegación que funcionen tanto para el control de seguridad sobre otro usuario como también para el autocontrol de seguridad.
Descripción de la invención
Con ese fin, las realizaciones de la presente invención proporcionan, de acuerdo con un primer aspecto, un método para controlar la navegación por Internet. El método comprende recibir, por un dispositivo de control, tal como un teléfono móvil, a través de un primer canal de comunicación, una solicitud de página web desde un agente de control implementado en un navegador. El navegador está instalado en un dispositivo informático, tal como un PC, un portátil o una tableta, entre otros, operado por un usuario. La solicitud de página web incluye una dirección web solicitada por el usuario e información de identificación del usuario. A continuación, el dispositivo de control solicita a un servicio de control, a través de un segundo canal de comunicación, un nivel de seguridad de dicha página web solicitada que incluye un estado del usuario y la presencia de riesgos en la página web solicitada. El servicio de control realiza un control de seguridad sobre dicha página web solicitada por medio de comprobación de si la página web solicitada está incluida en una lista negra o en una lista blanca y también comprobando determinados criterios de control de riesgos de la página web solicitada. Al final, en respuesta a la recepción de un resultado de dicho control de seguridad por parte del servicio de control, el dispositivo de control comprende permitir o denegar el acceso a dicha página web.
En una realización particular, el primer canal de comunicación es diferente al segundo canal de comunicación. Por ejemplo, el primer canal de comunicación incluye una comunicación Bluetooth y la segunda comunicación incluye una tecnología de Internet inalámbrica, tal como 3G, 4G o 5G.
En una realización, dicho criterio de control de riesgos comprende al menos uno de los siguientes:
comprobar si el contenido de la página web solicitada coincide con una lista negra específica; comprobar si la dirección web incluye errores tipográficos; comprobar si el contenido de la página web solicitada incluye operaciones de riesgo, tales como solicitar datos personales, contraseña, etc.; comprobar si el contenido de la página web solicitada incluye contenido no deseado, incluido contenido violento y/o
pornográfico; comprobar si el contenido de la página web solicitada incluye código malicioso y/o comprobar la autenticidad de un certificado de la dirección web.
En una realización, el servicio de control transmite el resultado del control de seguridad al dispositivo de control en forma de un mensaje. En caso de que el resultado del control de seguridad indique que se detecta un riesgo potencial, se puede especificar más el nivel y el tipo de riesgo en el mensaje.
De acuerdo con el método propuesto, dependiendo de la configuración de un usuario y del nivel y tipo de riesgo detectado, el dispositivo de control puede denegar el acceso a la página web, permitir el acceso a la misma o solicitar la aprobación manual de un usuario de control, supervisando este último el dispositivo de control. En caso de que se requiera una aprobación manual, el usuario de control puede además solicitar una decisión de soporte al servicio de control. La decisión de soporte se toma cuando el usuario de control recibe uno o más de los siguientes datos: tipo de riesgo que incluye el contenido en la lista negra, error tipográfico en la dirección web, operación de riesgo, contenido no deseado, código malicioso, etc.; datos específicos relacionados con el riesgo que incluyen el tipo de operación de riesgo, datos sensibles, la solicitud de la página web, un dominio, etc. y/o una captura de pantalla de la página web solicitada.
En una realización, el dispositivo de control envía además una notificación al usuario de control que indica si se ha denegado o permitido el acceso del usuario a la página web solicitada.
En otra realización adicional, si se deniega el acceso a la página web, el servicio de control almacena la página web solicitada en un archivo del mismo.
Las realizaciones de la presente invención también proporcionan, de acuerdo con un segundo aspecto, un sistema para controlar la navegación por Internet. El sistema incluye:
- un navegador instalado en un dispositivo informático (por ejemplo, un ordenador) operado por un usuario;
- un agente de control (por ejemplo, una extensión del navegador) implementado en dicho navegador;
- un dispositivo de control (por ejemplo, un teléfono móvil); y
- un servicio de control (por ejemplo, un servidor remoto, tal como un servidor de ordenador en la nube, entre otros).
El dispositivo de control dispone de una primera unidad de comunicación para recibir, desde el agente de control, una solicitud de página web que incluye una dirección web solicitada por el usuario e información de identificación del usuario, y una segunda unidad de comunicación para solicitar, al servicio de control, un nivel de seguridad de dicha página web solicitada que incluye un estado del usuario y la presencia de riesgos en la página web solicitada, y recibir respuesta de un control de seguridad ejecutado por el servicio de control.
El dispositivo de control está configurado para permitir o denegar el acceso a la página web teniendo en cuenta dicha respuesta recibida.
De acuerdo con el sistema propuesto, las unidades de comunicación primera y segunda del dispositivo de control pueden ser iguales o diferentes. En caso de ser diferentes, la primera unidad de comunicación comprende una unidad de comunicación Bluetooth y la segunda unidad de comunicación comprende una unidad de comunicación inalámbrica que incluye WiFi.
Por tanto, la presente invención garantiza el análisis en tiempo real de las operaciones intentadas por el usuario controlado; la distancia máxima entre el controlador y los dispositivos controlados limitada por la tecnología (problemas de seguridad reducidos y denegación por diseño del uso del dispositivo controlado cuando el usuario control está ausente); resiliencia por diseño a los ataques tipo "Man-in-the-Middle" (por un desconocido) gracias al uso de canales laterales; resiliencia por diseño a ataques e infecciones al dispositivo controlado, ya que el control se ejecuta en un dispositivo diferente y utilizando un canal de red diferente; el control de riesgos se realiza en un dispositivo diferente (que finalmente no se ve afectado por el programa maligno ("malware")).
Breve descripción de los dibujos
Las anteriores y otras ventajas y características se entenderán más completamente a partir de la siguiente descripción detallada de las realizaciones, con referencia a las figuras adjuntas, que deben considerarse de una manera ilustrativa y no limitante, en las que:
La figura 1 representa gráficamente la arquitectura del sistema de la presente invención de acuerdo con una realización.
La figura 2 es un diagrama que muestra que el usuario intenta abrir una página web, cuyo contenido es detectado como sin riesgos por el servicio de control.
La figura 3 es un diagrama que muestra que el usuario intenta abrir una página web, cuyo contenido es detectado como de riesgo por el servicio de control. El usuario de control, una vez alertado, permite al usuario navegar por el contenido requerido.
La figura 4 es un diagrama que muestra que el usuario intenta abrir una página web, cuyo contenido es detectado como de riesgo por el servicio de control. El usuario de control, una vez alertado, niega al usuario navegar por el contenido requerido.
La figura 5 es un diagrama que muestra que el usuario intenta abrir una página web, cuyo contenido es detectado como presente en una lista negra por el servicio de control.
Descripción detallada de realizaciones preferidas
La figura 1 ilustra una realización de la arquitectura del sistema propuesto. De acuerdo con esta realización, un usuario (no ilustrado en la figura) está accediendo a Internet 140 a través de un navegador 101, desde un dispositivo informático genérico (por ejemplo, un dispositivo informático móvil o fijo) y, en particular, a través de un navegador 101 instalado en dicho dispositivo informático, operado por el usuario. El navegador 101 incluye un agente de control 102, por ejemplo, implementado como una extensión del navegador, que se comunica con un dispositivo de control 120, tal como un teléfono, entre otros. El dispositivo de control 120 es administrado por un usuario de control 121 y puede comunicarse con un servicio de control 130. El servicio de control 130 puede estar ubicado en Internet 140 y puede implementarse como un servicio externo al usuario.
El dispositivo de control 120 puede incluir una aplicación específica (por ejemplo, una app) para manejar la comunicación con el agente de control 102, el usuario de control 121 y el servicio de control 130 y para evaluar las solicitudes de navegación. Particularmente, el dispositivo de control 120 interactúa con el servicio de control 130 a través de API específicas.
En una realización particular, la comunicación entre el agente de control 102 y el dispositivo de control 120 se realiza a través de un primer canal de comunicación, por ejemplo, a través de Bluetooth, mientras que la comunicación entre el dispositivo de control 120 y el servicio de control 130 se realiza a través de un segundo canal de comunicación, diferente al primer canal de comunicación, para evitar ataques de seguridad, tales como de tipo Man-in-the-Middle (MitM) (por un desconocido). Una posible elección para el segundo canal de comunicación puede implementarse utilizando conexión 3G/4G/5G. Del mismo modo, un rango limitado de conexión entre el dispositivo informático (concretamente, el dispositivo informático controlado, es decir, el dispositivo informático que tiene instalado el navegador 101) y el dispositivo de control 120 permite evitar el uso del dispositivo informático cuando el usuario de control 121 está ausente. El uso de un dispositivo diferente como dispositivo de control 120 permite también evitar programas maliciosos finales presentes en el dispositivo informático controlado.
Sin embargo, el uso de dos canales de comunicación diferentes no es obligatorio en la presente invención.
De acuerdo con la invención propuesta, cuando el usuario solicita una página web, el agente de control 102 envía la dirección web (es decir, la URL) junto con otra información de identificación necesaria del usuario (por ejemplo, un identificador) al dispositivo de control 120, que responderá permitiendo o denegando la operación. En particular, una vez que el dispositivo de control 120 recibe la dirección web y la información de identificación del usuario sobre una solicitud de página web del agente de control 102, consultará al servicio de control 130 sobre el nivel de seguridad del contenido solicitado, aguantando la configuración del usuario solicitante, y la presencia de riesgos finales en la misma.
El servicio de control 130 se configura primero para el usuario de control 121 especificando finales listas negras y/o listas blancas, así como criterios de control de riesgos (tipo de riesgos notificados, nivel de notificación de riesgos, etc.). De manera alternativa o complementaria, se puede especificar una configuración diferente para cada par de usuario control-usuario controlado y se almacena en un archivo de configuración en el servicio de control 130.
El criterio de control de riesgos que puede comprobar el servicio de control 130 pueden incluir, entre otros:
• Contenido que coincida con una lista negra específica. La lista negra puede ser definida por el usuario de control 121 y/o basarse en listas negras compartidas disponibles en repositorios específicos, incluyendo las URL maliciosas conocidas, etc.
• Dirección web que incluye errores tipográficos. Una posible implementación de este control puede incluir, por ejemplo, la comprobación frente a un diccionario/repositorio.
• Contenido que incluye operaciones de riesgo, por ejemplo, solicitud de datos sensibles (número de cuenta, datos personales, etc.), solicitud de nombre de usuario/contraseña, etc.
• Contenido que incluye contenido no deseado, por ejemplo, violencia, pornografía, etc.
• Presencia de código malicioso, por ejemplo, ejecución de una secuencia de comandos externa, redireccionamientos coercitivos, suplantación de DNS, etc.
• Falta de autenticidad del certificado asociado a la dirección web.
Una vez que el servicio de control 130 responde sobre una solicitud de página web, el dispositivo de control 120, involucrando e informando finalmente al usuario de control 121, aplica la política adecuada a la solicitud de página web.
Partiendo de los riesgos identificados y el nivel de seguridad establecido para el usuario, son posibles los siguientes resultados:
• Si el servicio de control 130 no detecta riesgos potenciales según las comprobaciones anteriores, se devuelve un mensaje de OK al dispositivo de control 120 que, por lo tanto, procede a enviar la solicitud de página web original a Internet 140, que responderá como de costumbre al usuario controlado. Véase la figura 2 para un ejemplo de este tipo de transacción.
• Si el servicio de control 130 detecta algún riesgo potencial según las comprobaciones anteriores, se envía una notificación al dispositivo de control 120. En el mensaje de notificación se especifica un nivel y tipo de riesgo. Dependiendo de la configuración para el usuario específico y del tipo y nivel de riesgo identificado, el dispositivo de control 120 bloquea la solicitud de la página web, la permite o solicita la aprobación manual del usuario de control 121 para continuar con el contenido solicitado. En el caso de aprobación manual, se informa al usuario de control 121 para soportar su decisión, como se especifica a continuación.
La aplicación específica implementa las funcionalidades de control y la interfaz con el agente de control 102, el usuario de control 121 y el servicio de control 130. La aplicación informa al usuario de control 121 de un intento de acceso a contenido potencialmente de riesgo desde el navegador controlado 101 y lo ayuda a realizar una elección informada sobre permitir o no la página web solicitada. La información para ayudar al usuario de control 121 puede incluir el tipo de riesgo (contenido en la lista negra, error tipográfico en la dirección web, operación de riesgo, contenido no deseado, código malicioso, etc.), información específica relacionada con el riesgo (por ejemplo, si la solicitud incluye un operación de riesgo, se informa al usuario de control 121 sobre el tipo de operación, los datos sensibles que solicita la operación, el dominio que solicita dicha información, etc.), una captura de pantalla/vista previa de la página web solicitada (aún no mostrada al usuario controlado), finalmente se coloca junto con el supuesto contenido genuino correspondiente (por ejemplo, en caso de detección de error tipográfico, se muestra una vista previa de la página solicitada junto a una vista previa de la página usurpada), como resultado de solicitudes anteriores sobre las mismas solicitudes de contenido o similares, y posible información adicional que puede ser relevante para que el usuario de control 121 tome una decisión informada. Esta información de apoyo es proporcionada por el servicio de control 130.
El usuario de control 121 toma, por lo tanto, una decisión informada sobre denegar/permitir que el usuario controlado acceda a la página web solicitada. En caso de denegación, véase la figura 4, el agente de control 102 bloquea la solicitud (es decir, no la envía a Internet 140) y notifica al usuario controlado sobre el acceso denegado al contenido solicitado. La acción seleccionada por el usuario de control 121 se registra en el archivo de configuración del servicio de control 130, asociado a la página web solicitada, para soportar elecciones futuras sobre solicitudes similares o iguales.
En caso de permitir, véase la figura 3, el agente de control 102 envía la solicitud de la página web a Internet 140 como estaba originalmente, de modo que la respuesta de la web llegará directamente al usuario controlado de forma transparente tanto para el usuario controlado como para el servidor de Internet que recibe la solicitud. La acción seleccionada por el usuario de control 121 se registra en el archivo de configuración del servicio de control 130, asociado a la página web solicitada, para soportar elecciones futuras sobre solicitudes similares o iguales.
Al final, el servicio de control 130 puede identificar la página web solicitada como estrictamente prohibida, dependiendo de la configuración especificada (por ejemplo, tipo de riesgo, tipo de contenido, dirección web específica, etc.). En este caso, no se requiere aprobación manual para el usuario de control 121 y se deniega directamente la solicitud de navegación del usuario controlado. Dependiendo de la configuración del usuario, el usuario de control 121 puede ser notificado de la solicitud por el usuario controlado a través del dispositivo de control 120. Véase la figura 5 para un ejemplo de este tipo de transacción.
El usuario puede ser el mismo usuario que controla el dispositivo de control 120 (por ejemplo, en caso de autoprotección frente a riesgos de navegación), o un usuario diferente (por ejemplo, en caso de control parental o control jerárquico).
Además, el dispositivo de control 120 puede controlar múltiples navegadores 101, utilizados por diferentes usuarios o por el mismo usuario. En este caso, la notificación de riesgo enviada al dispositivo de control 120 incluirá también un identificador del correspondiente usuario/navegador/dispositivo informático controlado.
Se pueden habilitar diferentes usuarios de control 121 en el mismo sistema y controlar juntos los mismos (conjunto de) usuarios. En este caso, se puede configurar una autorización múltiple o única para el sistema. En el primer caso, todos los usuarios de control 121 deben autorizar la solicitud de la página web de riesgo antes de que sea aceptada, mientras que en el último caso se notifica a un solo usuario de control 121 y su respuesta se utiliza para seleccionar si la solicitud de la página web se envía o deniega o no. El usuario de control específico 121 que hay que notificar puede seleccionarse en función de una jerarquía definida, en función del sello de tiempo de registro de los diferentes usuarios de control 121 en el sistema, o en función de una política de distribución de carga (por ejemplo, Round Robin, entre otros). La redundancia del usuario de control 121 permite que el sistema funcione como se espera (es decir, aceptación/rechazo por parte del usuario de control 121) también cuando un usuario de control 121 abandona el área del sistema. Por otro lado, se puede establecer una política predeterminada para los casos en los que no esté disponible ningún usuario de control 121 en el área del sistema (es decir, rechazar o permitir). En cualquier caso, la configuración seleccionada debe configurarse en el sistema durante su instalación.
Las realizaciones descritas anteriormente deben entenderse como unos pocos ejemplos ilustrativos de la presente invención. Los expertos en la materia entenderán que se pueden realizar diversas modificaciones, combinaciones y cambios en las realizaciones sin apartarse del alcance de la presente invención. En particular, se pueden combinar diferentes soluciones parciales en las diferentes realizaciones en otras configuraciones, cuando sea técnicamente posible.
El alcance de la presente invención se define en el siguiente conjunto de las reivindicaciones.

Claims (11)

REIVINDICACIONES
1. Un método para controlar la seguridad de los usuarios que navegan por Internet, comprendiendo el método:
- recibir, mediante un dispositivo de control (120), a través de un primer canal de comunicación, una solicitud de página web desde un agente de control (102) implementado en un navegador (101), estando el navegador (101) instalado en un dispositivo informático operado por un usuario e incluyendo la página web una dirección web solicitada por el usuario y la información de identificación del usuario;
- solicitar, por dicho dispositivo de control (120), a un servicio de control (130), a través de un segundo canal de comunicación, un nivel de seguridad de dicha página web solicitada que incluye un estado del usuario y la presencia de riesgos en la página web solicitada;
- ejecutar, mediante el servicio de control (130), un control de seguridad sobre dicha página web solicitada por medio de la comprobación de si la página web solicitada está incluida en una lista negra o en una lista blanca y también comprobando determinados criterios de control de riesgos de la página web solicitada; y
- en respuesta a la recepción de un resultado de dicho control de seguridad del servicio de control (130), permitir o denegar por parte del dispositivo de control (120) el acceso a dicha página web,
en donde dicho resultado del control de seguridad es transmitido por el servicio de control (130) al dispositivo de control (120) en forma de mensaje, en donde si el resultado del control de seguridad indica que se detecta un riesgo potencial, en el mensaje se especifica un nivel y tipo de riesgo, y en donde dependiendo de la configuración de un usuario y del nivel y tipo de riesgo, el dispositivo de control (120) deniega el acceso a la página web, permite el acceso o solicita la aprobación manual de un usuario de control (121) que supervisa el dispositivo de control (120).
2. El método de la reivindicación 1, en donde el primer canal de comunicación es diferente del segundo canal de comunicación.
3. El método de la reivindicación 2, en donde el primer canal de comunicación incluye una comunicación Bluetooth y la segunda comunicación incluye una tecnología de Internet inalámbrica, incluyendo 3G, 4G o 5G.
4. El método de la reivindicación 1, en donde dicho criterio de control de riesgos comprende al menos uno de los siguientes:
- comprobar si el contenido de la página web solicitada coincide con una lista negra específica;
- comprobar si la dirección web incluye errores tipográficos;
- comprobar si el contenido de la página web solicitada incluye operaciones de riesgo;
- comprobar si el contenido de la página web solicitada incluye contenido no deseado, incluido contenido violento y/o pornográfico;
- comprobar si el contenido de la página web solicitada incluye código malicioso; y/o
- comprobar la autenticidad de un certificado de la dirección web.
5. El método de la reivindicación 1, en donde si se requiere una aprobación manual, el usuario de control (121) solicita además una decisión de soporte al servicio de control (130), en donde dicha decisión de soporte se toma al recibir uno o más de los siguientes datos:
- tipo de riesgo que incluye contenido en la lista negra, error tipográfico en la dirección web, operación de riesgo, contenido no deseado, código malicioso;
- datos específicos relacionados con el riesgo que incluyen el tipo de operación de riesgo, datos sensibles que solicita la página web, un dominio; y/o
- una captura de pantalla de la página web solicitada, preferentemente colocada al lado de la supuesta página web genuina correspondiente.
6. El método de la reivindicación 1, que comprende además enviar, por el dispositivo de control (120), una notificación a un usuario de control (121) sobre denegar/permitir al usuario acceder a la página web solicitada.
7. El método de la reivindicación 1, en donde si se deniega el acceso a dicha página web, el servicio de control (130) almacena además la página web solicitada en un archivo de la misma.
8. Un sistema para controlar la seguridad de los usuarios que navegan por Internet, que comprende:
- un navegador (101) instalado en un dispositivo informático operado por un usuario;
- un agente de control (102) implementado en dicho navegador (101);
- un dispositivo de control (120); y
- un servicio de control (130);
en donde el dispositivo de control cuenta con una primera unidad de comunicación para recibir, desde el agente de control (102), una solicitud de página web que incluye una dirección web solicitada por el usuario e información de identificación del usuario; y una segunda unidad de comunicación para solicitar, al servicio de control (130), un nivel de seguridad de dicha página web solicitada que incluye el estado del usuario y la presencia de riesgos en la página web solicitada, y recibir respuesta de un control de seguridad ejecutado por el servicio de control (130), en donde el dispositivo de control (120) está configurado para permitir o denegar el acceso a dicha página web solicitada teniendo en cuenta dicha respuesta recibida,
en donde dicho resultado del control de seguridad es transmitido por el servicio de control (130) al dispositivo de control (120) en forma de mensaje, en donde si el resultado del control de seguridad indica que se detecta un riesgo potencial, en el mensaje se especifica un nivel y tipo de riesgo, y
en donde dependiendo de la configuración de un usuario y del nivel y tipo de riesgo, el dispositivo de control (120) deniega el acceso a la página web, permite el acceso a la misma o solicita una aprobación manual de un usuario de control (121) que supervisa el dispositivo de control (120).
9. El sistema de la reivindicación 8, la primera unidad de comunicación es diferente a la segunda unidad de comunicación.
10. El sistema de la reivindicación 8 o 9, en donde la primera unidad de comunicación comprende una unidad de comunicación Bluetooth y la segunda unidad de comunicación comprende una unidad de comunicación inalámbrica, incluyendo 3G, 4G o 5G.
11. El sistema de la reivindicación 8, en donde el dispositivo de control (120) es un teléfono móvil.
ES19382098T 2019-02-12 2019-02-12 Método y sistema para controlar la seguridad de los usuarios que navegan por Internet Active ES2947385T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP19382098.2A EP3697117B1 (en) 2019-02-12 2019-02-12 Method and system for controlling internet browsing user security

Publications (1)

Publication Number Publication Date
ES2947385T3 true ES2947385T3 (es) 2023-08-08

Family

ID=65529622

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19382098T Active ES2947385T3 (es) 2019-02-12 2019-02-12 Método y sistema para controlar la seguridad de los usuarios que navegan por Internet

Country Status (4)

Country Link
US (1) US11418486B2 (es)
EP (1) EP3697117B1 (es)
BR (1) BR102020002913A2 (es)
ES (1) ES2947385T3 (es)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10841337B2 (en) 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US10776798B2 (en) * 2017-04-25 2020-09-15 Comscore, Inc. Device identification systems and methods
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
US11310268B2 (en) * 2019-05-06 2022-04-19 Secureworks Corp. Systems and methods using computer vision and machine learning for detection of malicious actions
US11418524B2 (en) 2019-05-07 2022-08-16 SecureworksCorp. Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
US11381589B2 (en) 2019-10-11 2022-07-05 Secureworks Corp. Systems and methods for distributed extended common vulnerabilities and exposures data management
US11522877B2 (en) 2019-12-16 2022-12-06 Secureworks Corp. Systems and methods for identifying malicious actors or activities
US11588834B2 (en) 2020-09-03 2023-02-21 Secureworks Corp. Systems and methods for identifying attack patterns or suspicious activity in client networks
US11457012B2 (en) * 2020-11-03 2022-09-27 Okta, Inc. Device risk level based on device metadata comparison
US11528294B2 (en) 2021-02-18 2022-12-13 SecureworksCorp. Systems and methods for automated threat detection
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8229930B2 (en) * 2010-02-01 2012-07-24 Microsoft Corporation URL reputation system
US8718633B2 (en) 2011-07-13 2014-05-06 Qualcomm Incorporated Intelligent parental controls for wireless devices
US8571538B2 (en) 2011-08-10 2013-10-29 Qualcomm Incorporated Web-based parental controls for wireless devices
US8925082B2 (en) * 2012-08-22 2014-12-30 International Business Machines Corporation Cooperative intrusion detection ecosystem for IP reputation-based security
US10255449B2 (en) 2014-05-30 2019-04-09 Apple Inc. Permission request
US20150365379A1 (en) 2014-06-12 2015-12-17 Gryphon Online Safety, Inc. System and method for managing, controlling and configuring an intelligent parental control filter
US9172705B1 (en) * 2014-07-10 2015-10-27 Forcefield Online, Inc System and method for remote, interactive network and browsing supervision, monitoring, and approval
GB2532452B (en) * 2014-11-19 2016-11-02 F Secure Corp Preventing browser-originating attacks
US10305911B1 (en) * 2015-07-06 2019-05-28 Amazon Technologies, Inc. Systems and methods for managing access to web content
US10992678B1 (en) * 2015-09-15 2021-04-27 Sean Gilman Internet access control and reporting system and method
US10440025B2 (en) * 2016-06-07 2019-10-08 Gryphon Online Safety, Inc Remotely controlling access to online content
US11301550B2 (en) * 2016-09-07 2022-04-12 Cylance Inc. Computer user authentication using machine learning

Also Published As

Publication number Publication date
BR102020002913A2 (pt) 2020-10-06
US11418486B2 (en) 2022-08-16
EP3697117B1 (en) 2023-03-29
EP3697117A1 (en) 2020-08-19
US20200259791A1 (en) 2020-08-13

Similar Documents

Publication Publication Date Title
ES2947385T3 (es) Método y sistema para controlar la seguridad de los usuarios que navegan por Internet
EP3455778B1 (en) Electronic device based security management background
JP6599341B2 (ja) 動的ネットワークアクセス管理のための方法、デバイスおよびシステム
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
US8918841B2 (en) Hardware interface access control for mobile applications
US9065800B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
US11405399B2 (en) Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router
WO2017084446A1 (zh) 无线路由器登录管理方法及装置
US9059984B2 (en) Authenticating an auxiliary device from a portable electronic device
US20210168611A1 (en) Method for securely sharing a url
US20080022404A1 (en) Anomaly detection
US20140181895A1 (en) Off campus wireless mobile browser and web filtering system
KR20150026587A (ko) 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
US20210112060A1 (en) Method and Apparatus to Control and Monitor Access to Web Domains using Networked Devices
CN106789945A (zh) 一种网络设备以及上网行为管理方法
US20150143526A1 (en) Access point controller and control method thereof
KR20180131765A (ko) 관리자 모드 네트워크 접속관리시스템 및 접속 방법
US11304056B2 (en) System and method for detecting unauthorized devices in a system of telecom networks
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
US11743264B2 (en) Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router
US20230388307A1 (en) System and Method for Improved Security when Working Remotely
KR101207320B1 (ko) 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법
Agana et al. Shared Wireless Access Point Security in a Hybrid Star Topology using Primary Host Authentication: A Case Study of NAITES Wi-Fi
KR20130124448A (ko) 정당성 확인 로그인 인증 시스템 및 그 방법