Si es como la mayoría de las personas, confía en el autocompletado del navegador para completar formularios web molestos. El «autocompletar» del navegador completa automáticamente su información en los campos de los formularios web en función de la información que ingresó previamente en estos campos.
La mala noticia es que terceros maliciosos y piratas informáticos de sombrero negro pueden usar esta función de autocompletar en los navegadores para engañarlo para que revele su información confidencial. Un hacker de sombrero blanco de Finlandia, Viljami Kuosmanen, quien también es desarrollador web, mostró en su demostración de GitHub que los atacantes podrían secuestrar la función de autocompletar en complementos, administradores de contraseñas (y herramientas similares) y navegadores.
Mucho antes de Kuosmanen, el analista de seguridad de ElevenPaths, Ricardo Martín Rodríguez, había descubierto esto vulnerabilidad de autocompletado del navegador en 2013. Hasta el momento, Google no ha encontrado una solución a esta vulnerabilidad.
Difundir su información confidencial sin saberlo
En el sitio web de demostración de prueba de concepto de Kuosmanen, verá un formulario web simple que consta de solo dos campos: nombre y dirección de correo electrónico. Sin embargo, el formulario tiene muchos campos ocultos (es decir, fuera de la vista); estos campos ocultos incluyen dirección, organización, número de teléfono, ciudad, código postal y país.
En un formulario como el de arriba, solo vería los campos de nombre y correo electrónico, pero su función de autocompletar completaría automáticamente sus datos en los campos restantes. Un formulario web de phishing como el de arriba habría recopilado más información de la que usted sabe cuando hace clic en el botón Enviar.
Para probar las funciones de autocompletar de su navegador y extensión, puede usar el sitio de prueba de concepto que Kuosmanen había configurado. Al enviar el formulario, noté que había obtenido más información de la que di. Usé la última versión de Mozilla Firefox para esta prueba y me sorprendió la cantidad de información que derramé.
En Chrome, el autocompletado de datos financieros activa una advertencia para los sitios web sin HTTPS. En mi experiencia, el formulario de Kuosmanen intentó recopilar la fecha en que llené el formulario, mi dirección, mi número de tarjeta de crédito, CVV, fecha de vencimiento de la tarjeta de crédito, mi ciudad, país, correo electrónico, nombre, organización, teléfono y código postal.
El formulario incluso intentó recopilar algunos metadatos sobre mi tipo de navegador, mi dirección IP actual y más. Vea mi captura de pantalla a continuación.
Apple Safari, Google Chrome y Opera fueron vulnerables durante una prueba de ataque de Kuosmanen.
En enero de 2017, Daniel Veditz, el principal ingeniero de seguridad de Mozilla, dijo que no se puede engañar a los navegadores Firefox para que rellenen cuadros de texto mediante programación. Los usuarios de Firefox están a salvo de los ataques de autocompletado del navegador (al menos por ahora), ya que el navegador no tiene un sistema de autocompletado de casillas múltiples. El navegador Firefox de Mozilla obliga a los usuarios a seleccionar manualmente datos precargados para cada cuadro de texto en un formulario web.
Conclusión: desactive la función de autocompletar de su navegador
La precaución más fácil de tomar contra los ataques de phishing es desactivar la función de autocompletar formularios en su navegador, configuración de extensiones o administrador de contraseñas. La función de autocompletar de su navegador está activada de manera predeterminada.
Para desactivar el autocompletado en Chrome:
1. Vaya a la «Configuración» del navegador.
2. Busque «Configuración avanzada» en la parte inferior de la página.
3. En el área «Contraseñas y formularios», desmarque «Habilitar autocompletar».
Para desactivar el autorrelleno en Opera:
1. Dirígete a Configuración.
2. Vaya a «Autocompletar» y desactívelo.
Para desactivar el autorrelleno en Safari:
1. Vaya a «Preferencias».
2. Haga clic en «Autocompletar» para desactivarlo.
Si encuentra útil esta publicación, haga clic en «Sí» a continuación. Estaremos encantados de ver sus comentarios, también.