Web Analytics
Conecta con nosotros

Noticias

Google Chrome y Microsoft Edge filtran contraseñas a través del corrector ortográfico

Publicado

el

Google Chrome y Microsoft Edge

Google Chrome y Microsoft Edge introdujeron no hace mucho correctores ortográficos más poderosos que deberían contribuir a una mejor redacción, sin embargo, según el equipo de investigación de otto-js, estos también se han revelado como mecanismos que permiten enviar a las dos corporaciones datos sensibles como direcciones de email, nombres de usuario, fechas de nacimiento, números de la seguridad social, información de contacto, datos de pago, otros datos identificativos sensibles (como el DNI en España) e incluso la contraseña en caso de emplear la característica que permite mostrarla.

otto-js ha descubierto que, dependiendo del sitio web que visite el usuario (o sea, que el filtrado no se produce con todos los sitios web), el corrector ortográfico mejorado de Google Chrome y Microsoft Editor de Edge (también un corrector ortográfico mejorado) son capaces de enviar a las compañías responsables prácticamente cualquier dato que el usuario introduzca en los formularios.

El correo electrónico no es que sea algo especialmente comprometedor sin la contraseña y si se emplea una fuerte que resulte difícil de romper mediante fuerza bruta (más de una decena de caracteres y combinando letras, números y caracteres extraños), pero no es un plato de buen gusto que datos como la contraseña, el DNI, el número de la seguridad social y los de pago acaben en los servidores de Google y Microsoft sin advertir al usuario.

Como ya hemos dicho, el tema de la contraseña parece tener un requisito adicional, y es emplear la característica que permite mostrarla, que por lo general es empleada para ver si ha sido escrita correctamente en un entorno en el que el usuario está solo. Los investigadores han hecho la prueba con el formulario de acceso de Alibaba.

Filtrado de la contraseña a través de Google Chrome y Microsoft Edge

Entre los sitios web capaces de reproducir el filtrado de datos están los de Office 365, el servicio en la nube de Alibaba, Google Cloud, Amazon Web Services (AWS) y el gestor de contraseñas LastPass. Según informa otto-js mediante actualizaciones de la entrada publicada en su blog oficial, los dos últimos han introducido las mitigaciones necesarias para evitar que el filtrado se vuelva a producir. Para ello han añadido spellcheck=false en todos los campos de introducción de datos de sus formularios para bloquear la corrección ortográfica.

El medio BleepingComputer también ha llevado a cabo otra investigación con la que ha podido sumar a CNN, Facebook, SSA.gov (Seguridad Social de Estados Unidos), Bank of America y Verizon a la lista de otto-js, así que esos sitios web también están contribuyendo, sin querer, a filtrar datos que deberían ser exclusivamente privados del usuario.

En total, otto-js ha investigado más de 50 sitios web y ha dividido 30 de ellos en un grupo de control que abarca seis categorías, las cuales son banca online, herramientas de oficina en la nube, servicios médicos, instituciones gubernamentales, medios sociales y comercio electrónico. De esos 30 sitios web pertenecientes al grupo de control, el 96,7% envía datos personales a los servidores de Google y Microsoft a través del corrector ortográfico mejorado. Por otro lado, al emplear la característica de mostrar la contraseña, el 73% la termina filtrando.

Cómo no tener el corrector ortográfico mejorado en Google Chrome y Microsoft Edge

Por suerte, el fallo está localizado en una característica muy concreta que es posible inhabilitar fácilmente. Recomendamos seguir estos pasos para proteger la privacidad y sobre todo evitar que los datos personales acaben siendo enviados a quien no debe.

En Edge, Microsoft Editor es en realidad una extensión que se instala aparte. Aunque el navegador también cuenta con una implementación presente en “Usar asistencia de escritura”, dentro de la sección Idiomas y que está marcada por defecto, esta no parece reproducir el fallo. Pese a todo, y para más seguridad, sería recomendable usar la revisión básica o inhabilitar totalmente la asistencia de escritura.

Inhabilitando Microsoft Editor, el corrector ortográfico mejorado de Microsoft Edge

En Google Chrome el proceso es similar y además no es algo que esté habilitado por defecto. En la misma sección de Idiomas hay que marcar “Revisión ortográfica básica” si no se opta por la inhabilitación total.

Inhabilitando el corrector ortográfico mejorado de Google Chrome

Parece que la inhabilitación de la comprobación ortográfica desde los propios formularios web tendrá que convertirse en un estándar para así proteger de manera más efectiva a los usuarios, aunque eso no quita que estos últimos tengan que tomar las medidas necesarias. Ya se sabe, cuando se trata de privacidad y seguridad, toda precaución que se toma termina siendo poca.

AVISO: El artículo ha sido corregido el 19 de septiembre de 2022 a las 20:20 aproximadamente.

Lo más leído