Gestor Contrasenas Navegador Vulnerabilidad

Entre las funciones de mayor utilidad en los navegadores web, que radica en poder almacenar y autocompletar contraseñas, se ha convertido repentinamente en un inconveniente para los usuarios. Así lo han afirmado un grupo de investigadores de seguridad informática, quienes revelaron que dos empresas de publicidad están aprovechando esta opción para rastrear y almacenar las direcciones de correo electrónico de los usuarios.

Para tener una mejor perspectiva de este problema, es necesario comprender primero la función de autocompletado de contraseñas del navegador. En este sentido, los datos almacenados por el navegador se ‘rellenan’ de manera automática cada vez que en un sitio web aparecen los espacios o campos para usuario y contraseña. Casi siempre, esto ocurre sin que el usuario intervenga.

El problema se agudiza cuando un script de terceros añade un formulario ‘invisible’ en un sitio web con estos campos de usuario y contraseña. El navegador le da estos datos al script sin que el usuario se entere, para posteriormente enviar esta información a una base de datos externa, según afirman los expertos. En concreto, las direcciones de correo electrónico son únicas, razón por la cual el hash con dichas direcciones son un perfecto indicador para rastrear datos.

Asimismo, los expertos afirman que esta vulnerabilidad existe desde hace aproximadamente 11 años, ya que, en términos de seguridad, no existe vulnerabilidad porque todo está funcionado “como debe funcionar”. Por ello, revelan lo siguiente:

La seguridad de la red reposa en el modelo Same Origin Policy, que trata como desconfiables a los scripts y los contenidos de diversos orígenes, razón por la cual el navegador impide que interfieran entre sí. A pesar de ello, si un publisher incorpora código de terceros directamente, en vez de aislarlo en un iframe, el tratamiento del script es el mismo que se proviniera del mismo origen del publisher.

Por su parte, los investigadores han creado un sitio de demostración en el cual explican detalladamente el funcionamiento de esta vulnerabilidad. Lamentablemente, todos los navegadores que se usan en la actualidad capturaron correctamente el correo electrónico, con el navegador Firefox en su versión 57.0.1 capturando la contraseña.