Hemos localizado una noticia de importancia capital y que sin embargo apenas ha trascendido a los medios. Hemos revisado las fuentes para asegurarnos y hemos llegado a la conclusión de que la información es fiable. Una empresa de seguridad demuestra objetivamente que, con respecto al manejo de contraseñas, no existe ningún navegador seguro. ¡NINGUNO!
Esta noticia ha pasado de puntillas por Internet y apenas nadie se ha hecho eco de su crucial advertencia. Menos mal que aquí están los editores de Neoteo a la caza y rastreo de las piezas más peligrosas. Pues bien, resulta que los navegadores más populares de la red incorporan una función que permite recordar las claves de acceso de los sitios visitados. Muy cómoda, por cierto. Sin embargo, ¿qué garantía hay de que el navegador entregue las contraseñas solo a los sitios seleccionados por el usuario, y no a sitios de intrusos? ¡Ninguna! La compañía de seguridad informática Chapin Information Services ha probado la forma en que los programas Google Chrome, Microsoft Internet Explorer, Apple Safari, Opera y Mozilla Firefox gestionan la seguridad de las contraseñas. Los resultados no han podido ser más desoladores. No se ha librado ni el zorro.
Según las pruebas, ninguno de los navegadores se ha librado de un resultado vergonzoso. Todos han puntuado muy bajo, exhibiendo al mundo la total falta de seguridad que padecen cuando se trata de proteger las contraseñas guardadas con las que solemos entrar en las web de todo tipo. Los navegadores Opera y Firefox han obtenido la mejor puntuación, pero aún así sólo lograron superar 7 de las 21 pruebas. Internet Explorer logró superar cinco de las pruebas. Los peores resultados fueron para Google Chrome y Apple Safari, que sólo superaron dos de las 21 pruebas. Si señor, han leído bien. El todopoderoso Chrome y el omnipotente Safari han rozado el ridículo al enfrentarse a estas pruebas tan esclarecedoras.
Uno de los problemas de seguridad revelados en la prueba es que algunos de los navegadores pueden ser inducidos a enviar contraseñas correspondientes a distintos servicios, a un sitio único. Precisamente esta táctica fue utilizada durante un ataque a MySpace, donde los atacantes usaron un formulario adulterado de inicio de sesión. Debido a que tanto el formulario auténtico como el adulterado estaban almacenados en el mismo sitio, los intrusos pudieron acceder a la información de inicio de sesiones, esto es, nombre de usuario y clave. La vulnerabilidad también está presente en Firefox, pero sus desarrolladores ya han solucionado el problema. Chrome y Safari continúan siendo vulnerables ante este tipo de ataques, según Chapin Information Services.
Otro problema es que los navegadores no suelen comprobar a qué sitio está comunicando las contraseñas. Sólo Firefox y Opera pueden evitar que el navegador permita enviar las contraseñas a otro dominio que aquél para el que fueron inscritas cuando se almacenó en el gestor de contraseñas. De igual modo, formularios invisibles contenidos en algunos servicios también pueden activar la función de gestión de contraseñas de los navegadores. De esa forma, el navegador puede ser inducido para entregar la contraseña sin que el usuario se percate siquiera.
El más decepcionante ha sido Chrome. En su fase beta, recibió un montón de críticas por sus errores y fallos de seguridad. Se supuso que habrían sido corregidos en su versión final 1.0 pero Chapin Service Information asegura que esto no ha sido así. Según un informe publicado por la compañía, Chrome 1.0 es el peor navegador de todos a la hora de proteger las contraseñas de los usuarios que lo utilizan. Lo anterior se debe a que presenta tres errores que ayudan a explotar un fallo de seguridad que fue descubierto hace dos años y que facilita que un atacante obtenga las contraseñas almacenadas en Chrome sin que el usuario se percate. Estos tres errores ya habían sido denunciados por Chapin cuando el navegador se encontraba en estado Beta y por si fuera poco, se han encontrado otros 17 errores relacionados con el administrador de contraseñas de Chrome. Un cuadro, vamos. No comprendemos como una empresa como Google ha dejado descuidado un tema tan importante como el de la seguridad. Máxime cuando ya le han avisado de los errores y pueden concentrarse en arreglarlos. De igual manera, Safari ha pasado sólo 2 de las 21 pruebas, en la misma penosa y lamentable línea que el navegador de Google. Un autentico varapalo el que se llevan estos dos grandes del estrellato cibernético.
CONSEJO: Desactivar cuanto antes la función de guardar contraseñas en nuestro navegador. Es recomendable que cada vez que entremos en un sitio web (comercio electrónico, banca, etc.) debemos teclear de nuevo la contraseña y el usuario. No hacerlo puede suponer el camino más rápido para tentar la suerte y sufrir una limpieza fulminante de la cartera.
Si quieres comprobar por ti mismo la seguridad de tu navegador sólo tienes que realizar el test que te proponen aquí