El sistema para autocompletar campos y formularios en los navegadores ha demostrado ser muy conveniente entre aquellos usuarios que están cansados de escribir lo mismo una y otra vez. Pero el autocompletado puede convertirse en un riesgo de seguridad si no se lo implementa de forma correcta. El desarrollador Viljami Kuosmanen descubrió que los perfiles de autocompletado en Opera, Chrome y Safari publican su contenido completo cada que se activan, y todo lo que necesita un atacante es crear campos ocultos en una página web para extraer el resto de los datos.
Llenar formularios es… tedioso, sí. No tiene sentido negarlo. Algunos usuarios deben hacer eso diariamente, y la frustración se acumula. Pero las funciones de autocompletado y predicción de texto salen al rescate. Nombre, apellido, fecha de nacimiento, dirección física, dirección de correo electrónico, número de teléfono… con un par de clics o un atajo de teclado, todos esos campos quedan llenos automáticamente. Sin lugar a dudas, el autocompletado no se irá a ninguna parte… ¿pero qué tan segura es su implementación? Después de todo, hay datos personales en sus perfiles. De acuerdo al desarrollador finés Viljami Kuosmanen, el autocompletado deja mucho que desear, y creó una sencilla página para demostrarlo.
La página tiene apenas dos campos, nombre y dirección de correo. La idea es que un usuario de los sistemas de autocompletado en Opera, Safari y Chrome utilicen sus perfiles automáticos para llenar los datos, y presionen «Submit». Pero lo que se muestra a continuación son datos para los que no había campos en primer lugar. ¿Qué sucedió? En esencia, la página cuenta con campos ocultos que los perfiles de autocompletado llenan de todos modos, sin que el usuario se entere. Este «engaño» también funciona con algunas extensiones que soportan autocompletado (como por ejemplo LastPass).
La recomendación es evitar al sistema de autocompletado hasta que los desarrolladores de los navegadores afectados introduzcan una solución para impedir que los perfiles llenen campos ocultos, o al menos utilizarlo solamente en portales de confianza. El único navegador «inmune» por así decirlo es Firefox, ya que sólo soporta autocompletado campo por campo (aunque la compañía confirmó un autocompletado más elaborado para versiones futuras).
One Comment
Leave a Reply