Clicky

Error en los principales navegadores permite que scripts de terceros roben las contraseñas guardadas

Contraseñas en el navegador

Prueba si el administrador de contraseñas de tu navegador filtra tu nombre de usuario y contraseña a formularios invisibles

Los investigadores de seguridad han descubierto cómo las empresas de marketing han comenzado a explotar un error de 11 años en los administradores de contraseñas incorporados en los navegadores, que les permite robar secretamente la dirección de correo electrónico para publicidad dirigida en diferentes navegadores y dispositivos.

La principal preocupación es que la misma escapatoria podría permitir a los actores malintencionados robar los nombres de usuario y contraseñas guardadas de los navegadores sin requerir interacción del usuario.

Todos los navegadores modernos - Google Chrome, Mozilla Firefox, Opera o Microsoft Edge - vienen hoy con una herramienta incorporada de administración de contraseñas fácil de usar que permite guardar la información de inicio de sesión para el llenado automático de formularios.

Estos administradores de contraseñas basados en navegador están diseñados para nuestra comodidad, ya que detectan automáticamente el formulario de inicio de sesión en una página web y en consecuencia completan las credenciales guardadas.

Sin embargo, un equipo de investigadores del Centro de Políticas de Tecnología de la Información de Princeton descubrió que al menos dos compañías de marketing, AdThink y OnAudience, están explotando activamente tales administradores de contraseñas incorporados para rastrear a los visitantes de alrededor de 1.110 de los mejores 1 millón de sitios de Alexa en Internet.

Los scripts de seguimiento de terceros encontrados por los investigadores en estos sitios web insertan formularios de inicio de sesión invisibles en el fondo de la página web, engañando a los administradores de contraseñas basados en el navegador para que rellenen automáticamente el formulario utilizando la información guardada del usuario.

"El formulario de inicio de sesión automático en general no requiere la interacción del usuario; todos los navegadores principales completarán automáticamente de inmediato el nombre de usuario (a menudo una dirección de correo electrónico), independientemente de la visibilidad del formulario", dicen los investigadores.

"Chrome no completa automáticamente el campo de la contraseña hasta que el usuario hace clic o toca en cualquier lugar de la página. Otros navegadores que probamos no requieren la interacción del usuario para rellenar automáticamente los campos de contraseña".

browser password manager

Dado que estos scripts están diseñados principalmente para el seguimiento del usuario, detectan el nombre de usuario y lo envían a servidores de terceros después de hash con los algoritmos MD5, SHA1 y SHA256, que luego podrían usarse como un ID persistente para que un usuario específico lo rastree de página a página.

"Las direcciones de correo electrónico son únicas y persistentes, por lo que el hash de una dirección de correo electrónico es un excelente identificador de seguimiento", dijeron los investigadores. "La dirección de correo electrónico de un usuario casi nunca cambiará: la eliminación de cookies, el uso del modo de navegación privada o el cambio de dispositivos no impedirá el seguimiento".

Aunque los investigadores han descubierto que las firmas de mercadotecnia recogen los nombres de usuario usando tales scripts de rastreo, no existe una medida técnica para evitar que estos recopilen las contraseñas de la misma manera.

Sin embargo, la mayoría de los administradores de contraseñas de terceros, como LastPass y 1Password, no son propensos a este ataque, ya que evitan el autocompletado de formularios invisibles y también requieren la interacción del usuario.

Los investigadores también han creado una página de demostración, donde puedes probar si el administrador de contraseñas de tu navegador también filtra tu nombre de usuario y contraseña a formularios invisibles.

La forma más sencilla de evitar dichos ataques es desactivar la función de autocompletar en tu navegador.

Jesus_Caceres