La descarga automática de archivos sin intervención del usuario es una de las técnicas preferidas por los atacantes para infectar equipos. Para mejorar la seguridad, Chrome las bloqueará próximamente.

Si crees que solo bajas archivos de Internet al hacer clic en un enlace o botón habilitado para ello, te equivocas. Hay descargas involuntarias automáticas para las que no se requiere la intervención del usuario, que en algunos casos se producen en segundo plano sin que te des cuenta. 

Este tipo de descargas se conoce con el nombre de Drive-by-Download y se origina en un iframe con código malicioso ofuscado simula un clic del usuario que en realidad no se ha producido, mediante publicidad engañosa o utilizando scripts maliciosos inyectados por los atacantes en las páginas web. El resultado de esto es que se produce una descarga maliciosa involuntaria.

La técnica Drive-by-Download se empezó a hacer muy popular a partir de 2012, y en 2013 ya se propuso implementar una función de bloqueo de descarga en iframes. No obstante, finalmente no se llevó a cabo, y a finales de 2017 se volvió a recuperar la idea de instaurar esta característica. 

Ahora, desde el proyecto de Chromium han recogido esta iniciativa y ya se han publicado los principios básicos y de diseño de la función que bloqueará las descargas involuntarias desde iframes.

Según se indica en un documento público creado por Yao Xiao de Chromium, para garantizar la seguridad en el futuro Chrome bloqueará las descargas que cumplan las siguientes condiciones:

• La descarga se activa mediante la navegación.
• El clic o la navegación se produce en un iframe aislado. 
• El frame no tiene un gesto de usuario transitorio en el momento del clic o la navegación. 

¿Pensando en renovar el ordenador? En Amazon España puedes comprar un portátil por menos de 400 euros

Cuando la característica para bloquear descargas involuntarias se haya implementado, todas las descargas que cumplan las condiciones arriba indicadas fallarán. 

En el documento, Yao Xiao explica que esta función "es una victoria para la seguridad, ya que las descargas son un vector de vulnerabilidades en muchos casos. Y no introduce nuevas vulnerabilidades, ya que simplemente bloqueamos la ruta del código para descargar en algunas condiciones".