Internet Explorer: ¿ha muerto por fin?

En su actualización de febrero, Microsoft enterró Internet Explorer de una vez por todas. ¿O no lo hizo? Hemos investigado lo que sucedió realmente.

No hace mucho, los medios de comunicación dedicados a la seguridad TI se hacían eco de la noticia de que Microsoft por fin enterraba al viejo Internet Explorer (IE). En esta publicación, repasaremos la larga historia sobre cómo el que un día fue el navegador más popular del mundo se ha ido desconectando poco a poco de su sistema de soporte vital e investigaremos si ha llegado la hora realmente de asistir a su funeral (spoiler: no).

Internet Explorer: las crónicas de su larga vida y muerte

Para aquellos que no fueron testigos (o se han olvidado) de los 2000, por aquel entonces Internet Explorer era el rey de Internet, con un índice de uso de más del 90 %. Parece mentira, pero Explorer era incluso más dominante de lo que lo es ahora el actual campeón: Google Chrome.

No obstante, desde la llegada de Chrome en el 2008, la popularidad de Explorer ha ido cayendo en picada. De hecho, podemos considerar el 2012 como el final de la era de Explorer, cuando Chrome por fin lo adelantó. Dicho esto, Microsoft no fue capaz de reconocerlo oficialmente hasta el 2015.

Fue entonces cuando, junto con la revelación de Windows 10, la empresa anunció que cancelaba el desarrollo de Explorer y presentaba Edge como el nuevo navegador predeterminado de Windows, dando por iniciada la primera fase de la retirada del servicio de IE. La versión original de Edge estaba promovida por el propio motor de Microsoft EdgeHTML, una modificación del MSHTML (también conocido como Trident) en el que se basaba Internet Explorer.

Por supuesto, Edge incluía un modo de compatibilidad con IE, pero esto no dio lugar a la eliminación del viejo navegador, sino todo lo contrario: dio comienzo a un periodo en el que ambos navegadores estaban preinstalados en Windows. Esto (otro spoiler) sigue pasando a día de hoy; en su undécima y última versión, Explorer sigue integrado en el sistema operativo.

Tres años después, en diciembre del 2018, llegó la segunda fase: Microsoft abandonó sus intentos de desarrollar su propio motor y anunció una totalmente renovada versión de Edge, esta vez basada en Chromium.

En el 2021, Microsoft lanzó su nuevo Windows 11 con el que ya no se podía iniciar ni usar Explorer como un navegador independiente, al menos en teoría. No obstante, Edge aún conservaba su modo de compatibilidad con IE. Además, el propio Explorer seguía presente en el sistema, por lo que, con tan solo trastear un poco, aún se podía ejecutar.

Unos años después, en febrero del 2023, saltó la noticia de que Microsoft por fin había dado por finalizado Explorer en su última actualización. Un golpe de gracia que acababa con esta cruel agonía. Pero, tras una inspección detallada, resulta que nuestro viejo amigo sigue respirando…

Desactivado no significa eliminado

Lo primero que hay que tener en cuenta sobre la actualización de Windows es que no ha eliminado Explorer del sistema operativo, solo lo ha desactivado. En la práctica, esto significa que Explorer ya no se puede lanzar como un navegador independiente (esta vez de verdad). No obstante, Edge, oficialmente el único navegador de Windows, sigue incluyendo un modo de compatibilidad con IE. Esto significa que Explorer sigue vivo, aunque no del todo: está ahí solo para garantizar el funcionamiento de este modo.

Ahora, si intentas abrir Explorer, se ejecutará Edge en su lugar y, en él, si así lo deseas, puedes seleccionar el modo de compatibilidad con IE. Por tanto, Explorer seguirá habitando Windows hasta que Microsoft decida poner fin al modo de compatibilidad con IE.

El parche para desactivar IE no funciona en todos los sistemas

Por si fuera poco, ni siquiera se ha completado la desactivación de Explorer. Hay un montón de sistemas operativos que no han recibido la actualización que desactiva IE. Microsoft ha publicado una lista con las exclusiones:

  • Windows 8.1
  • Las actualizaciones de seguridad extendidas (ESU) de Windows 7
  • El canal semianual (SAC) de Windows Server, todas las versiones
  • El canal de mantenimiento a largo plazo (LTSC) de Windows 10 IoT, todas las versiones
  • El LTSC de Windows Server, todas las versiones
  • El cliente LTSC de Windows 10, todas las versiones
  • Windows 10 China Government Edition

Es decir, los usuarios de estos sistemas operativos no han recibido los cambios que acabamos de mencionar, por lo que todavía podrán seguir ejecutando Internet Explorer como un navegador independiente.

Pero ¿cuál es el problema?

El problema es que, además de este navegador obsoleto, también permanecerán con él en el sistema operativo todas sus vulnerabilidades (y las que están sin descubrir). La única diferencia real entre el “antes” y el “después” de la desactivación de IE es que puede haberse complicado su explotación en ciertos tipos de ataques.

Como ejemplo real de lo que podría pasar, podemos recordar la vulnerabilidad CVE-2021-40444, descubierta en el motor MSHTML de Internet Explorer en el 2021. Además, en el momento del descubrimiento, la vulnerabilidad ya se estaba explotando en activo en ataques contra usuarios de Microsoft Office. Los atacantes complementaban los documentos de Office con un elemento ActiveX malicioso, que permitía la ejecución de código remoto después de que el usuario abriera el archivo con el troyano.

Pero ¿por qué no entierra Microsoft a Internet Explorer de una vez por todas? El problema es que este navegador ha sido durante mucho tiempo la única opción viable para muchas empresas, tras haber hecho raíces en su infraestructura. Algunas de estas compañías aún siguen sin poder desprenderse del legado de este oscuro pasado. Por tanto, por el bien de la compatibilidad (todo un mantra para Microsoft), este navegador moribundo ha ido pasando de un sistema operativo a otro durante toda una década.

Cómo mantenerte protegido

Por lo que parece, seguramente tengamos que esperar al menos unos cuantos años más antes de que Internet Explorer se vaya por completo. Por tanto, a menos que quieras esperar a que MS se decida a decir adiós definitivamente a IE, es mejor que gestiones tú mismo sus últimos días:

  • Si tu empresa sigue usando tecnologías ligadas a Internet Explorer, intenta retirarlas gradualmente y remplázalas por unas más actuales. No lo dejes, esto debería haber pasado hace 10 años.
  • Entonces, cuando ya no necesites la compatibilidad con IE, sería aconsejable que desactives el navegador de todos los sistemas operativos que uses. En el caso de los sistemas operativos anteriormente mencionados, esta actividad tendrá que hacerse manualmente: en el sitio de Microsoft encontrarás unas instrucciones detalladas sobre cómo hacerlo. Con el resto de los sistemas solo tendrás que asegurarte de que el parche de Microsoft esté correctamente instalado.
  • De acuerdo con Microsoft, deberías continuar instalando las actualizaciones de seguridad que estén relacionadas con Internet Explorer incluso aunque lo hayas desactivado, dado que ciertos componentes del navegador siguen en el sistema.
  • Y, por supuesto, no te olvides de usar una protección de confianza en todos los dispositivos de tu empresa.

Fuente: www.latam.kaspersky.com