El ataque de phishing roba tus datos personales del autocompletado del navegador y de los gestores de contraseñas

Todos usamos la funcionalidad de autocompletado del navegador para llenar información personal que se requiere repetidamente para registrarse en nuevos servicios o hacer cosas como comprar en línea. La funcionalidad de autocompletado es algo que nace de nuestra necesidad, pero recientemente se ha descubierto (desde hace bastante tiempo) que el navegador podría estar entregando tu información a los phishers. Lamentablemente, lo mismo es cierto para el Gestor de Contraseñas, una herramienta que usamos para generar contraseñas fuertes para diferentes sitios y guardar las mismas.

Viljami Kuosmanen, un desarrollador web finlandés y hacker, ha descubierto que varios navegadores, incluyendo Chrome, Safari de Apple, Opera y herramientas de utilidad como LastPass, pueden ser engañados para entregar información personal de los usuarios que los navegadores obtienen de los sistemas de autocompletado vinculados con los perfiles.

El ataque se basa en engañar a los usuarios cuando ingresan la información en cualquiera de los cuadros; el autocompletado ingresará otra información en cualquiera de los otros cuadros, incluso en aquellos que no son visibles en la página. Lo que sucede aquí es que cuando el usuario tiene la intención de entregar solo la información básica, el phisher obtiene toda la información almacenada por el autocompletado. No hace falta decir que el phisher también obtendrá otra información, incluyendo información de tarjetas de crédito, direcciones de correo y otros servicios a los que el usuario se ha registrado. Si estás interesado, puedes visitar este sitio de demostración que te pedirá que ingreses tu correo electrónico y nombre, pero una vez enviado, mostrará otra información personal usando tu número de teléfono celular y fecha de nacimiento.

Por eso no me gusta el autocompletado en los formularios web. #phishing #seguridad #infosec pic.twitter.com/mVIZD2RpJ3 — viljami.io 🇺🇸 (@anttiviljami) 4 de enero de 2017

Sin embargo, Firefox parece ser el único navegador que es inmune a tales ataques, ya que aún no soporta el sistema de autocompletado de múltiples cuadros, por lo que no puede ser llevado a completar otra información sin activar los campos de texto. El ataque de phishing aún se basa en engañar a los usuarios al pedirles que al menos ingresen algo de información usando el autocompletado y luego el camino está despejado para los atacantes. Aumentando los problemas está el hecho de que el autocompletado está activado por defecto en algunos navegadores, incluyendo Google Chrome, y se aconseja desactivarlo para protegerse de tal ataque. Mientras tanto, también ten cuidado con páginas sospechosas antes de entregar cualquier dato.