Proteger datos con el aislamiento de sitios web

Chrome versión 63 y posteriores

Se aplica a los navegadores Chrome gestionados y a los dispositivos con Chrome OS.

Como administrador de Chrome, puedes activar el aislamiento de sitios web para proteger a los usuarios del navegador Chrome que visitan sitios web que no son de confianza. 

Esta función separa páginas de diferentes sitios web. Al activarla, las páginas de diferentes sitios web se ejecutan en procesos distintos, por lo que resulta más difícil que los sitios web maliciosos puedan eludir las medidas de seguridad que haya para evitar el robo de datos. Más información sobre el aislamiento de sitios web

Puedes activar este aislamiento en todos los sitios web que visiten tus usuarios o solo en sitios web concretos.

Paso 1: Revisa las políticas

Política Descripción y configuración
SitePerProcess

Si está habilitada, se activa el aislamiento de todos los sitios web que se visiten en tu organización. Por tanto, para mostrar estos sitios se sigue un proceso de renderización dedicado que los aísla unos de otros.

Si está inhabilitada, el navegador no utiliza ningún proceso dedicado para renderizar sitios web.

Si no está configurada, los usuarios podrán decidir si activar el aislamiento de sitios web.

Nota: Si configuras el aislamiento para que se active en todos los sitios web, obtendrás el nivel de seguridad más alto posible; no obstante, se usará aproximadamente un 10 % más de memoria en los ordenadores con Chrome.

IsolateOrigins

Si está habilitada, se activa el aislamiento solo se usará el proceso de renderizado dedicado con los sitios web que indiques. En esta lista puedes incluir sitios web en los que los usuarios inicien sesión, así como otros que contengan información sensible, como sitios web dedicados a la productividad o que estén en intranets.

Si está inhabilitada, el navegador no utiliza ningún proceso dedicado para renderizar sitios web.

Si no está configurada, los usuarios podrán decidir si activar el aislamiento de sitios web.

Paso 2: Crea la lista de sitios que se aislarán

En Chrome 76 y versiones anteriores, debes crear una lista de todos los orígenes que quieres aislar especificando cada origen completo. Por ejemplo:
https://a.example.comhttps://b.example.comhttps://c.example.com.

En Chrome 77 y versiones posteriores, también puedes usar un comodín para especificar el intervalo de los orígenes que quieres aislar.

Por ejemplo, si especificas https://[*.]example.com, se aislarán https://a.example.com, https://b.example.com y https://c.example.com, pero también se aislarán los orígenes correspondientes a https://[*.]example.com, como:

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

El comodín es muy útil si quieres aislar un intervalo amplio de orígenes. Por ejemplo, podrías especificar https://[*.]corp.solarmora.com para asegurarte de que se aíslen todos los orígenes de la empresa Solarmora.

Paso 3: Activa el aislamiento de sitios web

En función de cómo quieras gestionar estas políticas, haz clic en la opción correspondiente para ver los pasos que debes seguir.

Consola de administración

Estas políticas se aplican cuando los usuarios han iniciado sesión en una cuenta de Google gestionada desde un navegador Chrome o un dispositivo con Chrome OS.

En este procedimiento se asume que ya sabes cómo configurar ajustes de Chrome en la consola de administración.

  1. Para definir la configuración de usuario de Chrome, sigue estos pasos:
    1. En la consola de administración, ve a Dispositivos y luego Administración de Chrome y luego Configuración de usuario y de navegador.
    2. Selecciona la unidad organizativa que contenga los usuarios o navegadores registrados para los que quieras autorizar aplicaciones.

    Importante: Asegúrate de que el navegador Chrome gestionado esté activado en la organización.

    Para obtener más información, consulta cómo definir políticas de Chrome en varias aplicaciones.

  2. Ve a la sección Aislamiento de sitios web.
  3. Para activar el aislamiento en todos los sitios web, haz lo siguiente:
    1. En Política de aislamiento de sitios web, selecciona Activa el aislamiento de sitios web en todos los sitios (SitePerProcess).
    2. (Opcional) Introduce orígenes adicionales separados por comas para aislarlos de sus respectivos sitios web. Por ejemplo, incluye https://login.example.com para aislarlo de https://example.com.
  4. Para activar el aislamiento en sitios web concretos, haz lo siguiente:
    1. En Política de aislamiento de sitios web, selecciona Activa el aislamiento de los sitios web que se indiquen a continuación (IsolateOrigins).
    2. Introduce una lista de sitios web y orígenes separados por comas para aislarlos.
  5. En la parte inferior, haz clic en Guardar.
Windows
La información de este artículo se aplica a los usuarios de Windows que inician sesión en una cuenta gestionada mediante el navegador Chrome.

Directivas de grupo

Para configurar las dos políticas indicadas más abajo, abre el Editor de directivas de grupo local y ve a Configuración del equipo o Configuración de usuario y luego Directivas y luego Plantillas administrativas y luego Google y luego Google Chrome

Activar el aislamiento de todos los sitios web

Si de deja la política correspondiente como No configurada, los usuarios pueden decidir si activar el aislamiento de sitios web, como se ha descrito anteriormente.

  1. Busca y activa la opción Habilitar el aislamiento de todos los sitios web.
    Nota: Si no aparece esta política, descarga la plantilla de políticas más reciente.

  2. Prueba si el aislamiento se aplica a todos los sitios web con esta marca de línea de comandos: 
    - - site-per-process

  3. Implementa la actualización en las cuentas de tus usuarios.

Activar el aislamiento en sitios web concretos

     Si de deja la política correspondiente como No configurada, los usuarios pueden decidir si activar el aislamiento de sitios web, como se ha descrito anteriormente.

  1. Busca y activa la opción Habilitar el aislamiento de sitios web específicos.

    Nota: Si no aparece esta política, descarga la plantilla de políticas más reciente.

  2. Introduce las URL que quieres aislar en una lista separada por comas.
    Ejemplo: https://example.com/,https://othersite.org/

  3. Prueba si el aislamiento se aplica a estos sitios web de forma local con esta marca de línea de comandos: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Implementa la actualización en las cuentas de tus usuarios.
Mac
Se aplica a los usuarios de AppleMac que hayan iniciado sesión con cuentas gestionadas en el navegador Chrome.

En tu perfil de configuración de Chrome, añade o actualiza las claves que se indican a continuación. Una vez que lo hayas hecho, implementa el cambio en las cuentas de tus usuarios.

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>"https://www.site1.com,https://www.site2.net"</string>
</dict>

 

Linux
Se aplica a los usuarios de Linux que hayan iniciado sesión con cuentas gestionadas en el navegador Chrome.

Abre el editor de archivos JSON que uses habitualmente y haz lo siguiente:

  1. Ve a la carpeta /etc/opt/chrome/policies/managed.
  2. Crea o actualiza un archivo JSON e introduce las URL que quieras:
    • SitePerProcess: asigna el valor "true" para habilitar la política.
    • IsolateOrigins: añade las URL que quieras aislar. 
  3. Prueba si el aislamiento se aplica a estos sitios web de forma local con esta marca de línea de comandos: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Implementa la actualización en las cuentas de tus usuarios.

En el ejemplo siguiente se muestra cómo habilitar la política SitePerProcess:

{
"SitePerProcess": "true"
}


En el ejemplo siguiente se muestra cómo aislar site1.com y site2.net:
{
"IsolateOrigins":"https://site1.com/,https://site2.net/"
}

Paso 4: Verifica el aislamiento de sitios web

Para comprobar que los sitios web que has indicado se aíslen correctamente, sigue estos pasos:

  1. Accede a un sitio web que tenga submarcos de otros sitios web:  
    1. Ve a http://csreis.github.io/tests/cross-site-iframe.html.
    2. Haz clic en el botón Go cross-site (complex page) (Activar los submarcos de otros sitios web [página compleja]).
    3. La página principal debe estar en el sitio web http://csreis.github.io. El submarco estará en https://chromium.org.
  2. Abre el administrador de tareas de Chrome (menú de Chrome y luego Más herramientas y luego Administrador de tareas).
  3. Verifica que la página principal y el submarco aparezcan en filas independientes asociadas a procesos diferentes.  Por ejemplo:
    • Pestañas: creis.github.io/tests/cross-site-iframe.html. ID de proceso = 1234
    • Submarco: https://chromium.org. ID de proceso = 5678

Si el proceso del submarco aparece en el administrador de tareas, el aislamiento de sitios web se ha habilitado correctamente. Al aislar sitios web concretos, debes incluir http://csreis.github.io o https://chromium.org en la lista de orígenes.

Desactivar el aislamiento de sitios web

Para desactivar el aislamiento de sitios web, inhabilita las políticas que has configurado anteriormente.

Una vez inhabilitadas las políticas de aislamiento de sitios web, Chrome renderizará los sitios web con el modelo de procesamiento anterior. Por tanto, es posible que diferentes sitios web compartan un mismo proceso, y que los marcos que muestren otros sitios web se rendericen en el mismo proceso que su página principal. Al inhabilitar una política, se dejan de realizar pruebas de campo de ambas políticas.

Problemas conocidos

  • Pueden producirse problemas de menor importancia con el aspecto de las páginas web o con algunos eventos de entrada, como clics, toques u otras formas de interactuar con páginas.
  • Es posible que los iframes que muestren otros sitios web no sean totalmente compatibles con el panel de rendimiento ni con la emulación de dispositivos móviles de las herramientas para desarrolladores de Chrome (DevTools).
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?