Digitar a ciegas: “Mostrar contraseña” envía datos privados a los servidores de los navegadores web, según reporte

“Mostrar contraseña”, la opción que tenemos en nuestro navegador web de preferencia para revelar las claves de nuestras cuentas y asegurarnos de que están escritas correctamente, constituye un problema para la privacidad en Internet debido a que envían esta información a los servidores en la nube de las compañías responsables, así como también otros datos como las webs que visitamos y qué clase de textos escribimos.

Según reveló la firma de ciberseguridad Otto-JS, este corrector ortográfico representado por el ícono de un ojo que está presente en navegadores como Google Chrome y Microsoft Edge envía a la nube las credenciales que los usuarios introducen en los campos de formulario de las webs, entregando así datos como nombres de usuario, correos electrónicos, fechas de nacimiento, documentos de identidad, entre otros.

De este modo, en el preciso instante en el que un usuario selecciona la opción “mostrar contraseña” y los asteriscos que se usan para ocultar la información se convierten en texto, estas claves también terminan siendo enviadas a los servidores de las compañías dueñas del navegador en cuestión.

Un fallo para navegadores web que no notamos

Josh Summitt, cofundador y director de tecnología de la firma Otto-JS, explicó cómo fue descubierta la brecha de seguridad: “Mientras investigábamos en busca de fugas de datos en diferentes navegadores, nos topamos con una combinación de características que, una vez habilitadas, expondrán innecesariamente datos confidenciales a terceros como Google y Microsoft. Lo preocupante es lo fácil que resulta habilitar estas funciones y que la mayoría de los usuarios lo harán sin darse cuenta realmente de lo que está sucediendo en segundo plano”.

Además, en su web, los investigadores de Otto-JS mostraron que esto también puede ocurrir cuando se inicia sesión en plataformas como Office 365, Alibaba Cloud, Google Cloud, AWS Secrets Manager y LastPass, exponiendo así la infraestructura digital de las empresas en cuestión. No obstante, las dos últimas ya se han encargado de corregir el fallo agregando un atributo ‘“spellcheck="false”’ al código HTML de la web.

Christofer Hoff, director de Tecnología Segura de LastPass, también opinó al respecto en la investigación de la firma Otto-JS mencionando que “resulta desconcertante que los usuarios puedan estar exponiendo, sin darse cuenta, datos confidenciales sólo por habilitar funciones inocuas del navegador... sin entender que cualquier cosa que escriban, incluidas las contraseñas, podría resultar en que esos datos se envíen a terceros”.

A la espera de la corrección en navegadores web

Maggie Louie, cofundadora de Otto-JS, señaló que esta técnica bautizada como “spell-jacking” es un problema bastante grave a la privacidad de los usuarios en plataformas web. “Esto puede no resultarnos preocupante cuando estamos hablando de Google y Microsoft, pero en las manos equivocadas, ¿podría usarse un lector de texto o una extensión del navegador con esas mismas características para la vigilancia intencionada?”, mencionó.

Respecto a este problema, Mozilla anunció el pasado junio que con el lanzamiento de su extensión Firefox Translations se ofrece una funcionalidad de “traducción sin nube” para evitar que los datos se compartan a sus servidores. No obstante, por ahora no existe una función similar para Google Chrome y Microsoft Edge, según lo que señala la investigación.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico.