Los anunciantes han encontrado una nueva forma de seguirte. De acuerdo a Libertad para jugar, algunas redes publicitarias ahora están abusando de los scripts de seguimiento para capturar direcciones de correo electrónico que su administrador de contraseñas completa automáticamente en los sitios web.
Pero es peor: también podrían usar esta tecnología para capturar sus contraseñas, si quisieran. Esto afecta a todos los que usan un administrador de contraseñas, ya sea un administrador de contraseñas integrado como el de Chrome, Firefox o Edge, o una extensión del navegador como Ultimo pase. Por lo tanto, probablemente debería desactivar la función de autocompletar para evitar que esto suceda.
Cómo Autocompletar filtra su información
Cuando guarda su nombre de usuario y contraseña en un sitio web, su administrador de contraseñas los recuerda. A partir de ese momento, intentará completarlos automáticamente en los campos de nombre de usuario y contraseña que ve en este sitio web. Esto hace que la conexión sea más rápida, porque solo necesita hacer clic en «Conectar».
Pero algunos scripts de anuncios de terceros, los que usan casi todos los sitios web, están comenzando a usarlos para rastrearlo. Se ejecutan en segundo plano, crean cuadros de inicio de sesión y contraseñas falsos que ni siquiera puede ver y capturan las credenciales que completa su administrador de contraseñas.
Puede ver este problema por sí mismo visitando esta página de demostración. Ingrese una dirección de correo electrónico falsa y una contraseña falsa, y se le pedirá que la guarde en el administrador de contraseñas de su navegador. Continúe y se completará automáticamente en segundo plano, con la secuencia de comandos capturando la dirección de correo electrónico y la contraseña.
Este sitio de demostración actualmente no muestra problemas si está usando LastPass, pero cualquier cosa que complete automáticamente los nombres de usuario y las contraseñas sin la intervención del usuario, incluido LastPass, es teóricamente vulnerable.
Necesita contraseñas únicas en todas partes, por lo que los administradores de contraseñas siempre son esenciales
Este problema demuestra la importancia de utilizar contraseñas únicas en cada sitio web. Esto no es solo un ataque teórico, en realidad lo utilizan los anunciantes en 1110 de los 1 millón de sitios web principales en este momento, según Freedom to Tinker. Los anunciantes actualmente solo usan esta técnica para capturar nombres de usuario y direcciones de correo electrónico, pero nada les impide capturar contraseñas también, si uno estaba de un humor particularmente infame en un día.
Si un anunciante ha capturado su contraseña en un sitio web, lo peor que puede hacer alguien con esos datos es iniciar sesión en ese sitio web. No es lo ideal, pero no es lo peor que puede pasar. Si usa la misma contraseña para este sitio web que para su cuenta de correo electrónico, esa persona podría acceder a su cuenta de correo electrónico y usarla para acceder a sus otras cuentas. Esto es lo peor que puede pasar.
Es por eso que siempre recomendamos usar un administrador de contraseñas pase lo que pase. Con todas las diferentes cuentas que una persona promedio tiene en línea y la frecuencia de los ataques contra estos sitios web, es imperativo que use una contraseña única para cada sitio que visite. La mejor manera de hacer esto es usar un administrador de contraseñas: no tires al bebé con el agua de la bañera.
Protéjase desactivando la función de autocompletar
Sin embargo, aún puede mitigar algunos de sus riesgos con estos scripts desactivando la función de autocompletar en su administrador de contraseñas. Por ejemplo, si está usando LastPass (que actualmente no está afectado por estos scripts, pero teóricamente podría estarlo), la función de autocompletar llena los campos de inicio de sesión con sus credenciales para que pueda hacer clic en «Conexión». Si desactiva la función de autocompletar, deberá hacer clic en el icono de LastPass en un campo de contraseña y hacer clic en su nombre de usuario para completar la información guardada. Solo hará esto cuando intente iniciar sesión, por lo que esto debería proteger sus credenciales para que no se recuperen. Ya no los rocía en cada página.
También puede copiar y pegar nombres de usuario y contraseñas de cualquier administrador de contraseñas que desee, lo que lo haría aún más seguro, pero mucho menos conveniente. Creemos que elegir iniciar el autocompletado manualmente solo en las páginas de inicio de sesión debería ser un buen compromiso entre seguridad y conveniencia. Si esas páginas de inicio de sesión se vieron comprometidas con un script de este tipo, nada podría ayudarlo; de todos modos, el script podría leer sus datos de inicio de sesión incluso si los copia y pega o los ingresa manualmente.
Desafortunadamente, la mayoría de los administradores de contraseñas de los navegadores no le permiten desactivar la función de autocompletar. No hay forma de desactivar la función de autocompletar si está utilizando el administrador de contraseñas integrado en Google Chrome o Microsoft Edge, por ejemplo. Chrome tiene una opción para desactivar la función de autocompletar, pero solo desactiva la función de autocompletar para datos como direcciones y números de teléfono, no contraseñas. Hay una opción para deshabilitar la función de autocompletar contraseñas en Mozilla Firefox Password Manager, pero está oculta en about: config.
Si está utilizando el administrador de contraseñas integrado en Chrome o Edge, le recomendamos que cambie a un administrador de contraseñas de terceros que ofrezca más control, como Ultimo pase o entonces 1 contraseña. 1Password no se ve afectado por este problema porque No entiendo una función de llenado automático.
En LastPass, puede desactivar la función de autocompletar haciendo clic en el botón de la extensión LastPass en la barra de herramientas de su navegador y haciendo clic en «Preferencias». Desmarque la opción «Completar automáticamente la información de inicio de sesión» en General, luego haga clic en «Guardar» para guardar los cambios.
Si desea continuar usando el administrador de contraseñas de Firefox, debe escribir «about: config» en la barra de direcciones de Firefox y presionar Enter. Verá una pantalla de advertencia que le informa que cambiar varias configuraciones aquí podría causar problemas. No se preocupe, si solo cambia la configuración que le proporcionamos, estará bien. Haga clic en «¡Acepto el riesgo!» » seguir.
Escriba «autofillForms» en el cuadro de búsqueda y haga doble clic en la preferencia «signon.autofillForms» para establecerla en «falso». Firefox ya no completará automáticamente los nombres de usuario y las contraseñas sin su permiso.
Si está utilizando otro administrador de contraseñas, debe abrir sus preferencias y desactivar la opción «autocompletar» o «autocompletar» para asegurarse de que su administrador de contraseñas no divulgue su información personal.
Los desarrolladores de navegadores y administradores de contraseñas deben rediseñar los administradores de contraseñas para que sean más seguros. No deberían intentar completar automáticamente sus datos de inicio de sesión en cada página web que visite en un sitio web en particular. Es solo buscar problemas. Pero, por ahora, puede desactivar la función de autocompletar para mayor seguridad.
Credito de imagen: vladwei/Shutterstock.com.