¿Estás utilizando las funciones mejoradas de corrección ortográfica de Edge y Chrome? Si es así, es hora de que salgas de ellas. Te decimos esto gracias a un nuevo informe donde se muestra que la función puede enviar los datos de tu formulario a los gigantes tecnológicos que poseen dichos navegadores.
Según la empresa de seguridad de JavaScript llamada otto-js, eso es lo que sucede cuando la función de corrección ortográfica mejorada de Chrome y el complemento del navegador Microsoft Editor Spelling & Grammar Checker de Edge son activados manualmente por los usuarios.
Sin embargo, ten en cuenta que ambos navegadores presentan sus propios correctores ortográficos básicos habilitados de forma predeterminada. Y que estos no representan un riesgo para la seguridad, debido a que no se comportan como las funciones mejoradas.
¿Qué puede suceder cuando se activan las funciones mejoradas de corrección ortográfica de Edge y Chrome?
Esto es lo que puede pasar si se activan las funciones mejoradas de corrección ortográfica de Edge y Chrome:
- Las funciones pueden enviar datos a Microsoft y Google.
- Por otro lado, la información que se transmitirá dependerá del formulario que estés completando en sitios web específicos. Así que, sí, tus contraseñas también podrían transmitirse a Microsoft y Google, según el equipo de investigación de otto-js.
- Josh Summitt, cofundador y CTO de otto JavaScript Security, comentó al respecto: «Si ‘mostrar contraseña’ está habilitada, la función incluso envía tu contraseña a tus servidores de terceros. Mientras investigamos las fugas de datos en diferentes navegadores, encontramos una combinación de características que, una vez habilitadas, exponen innecesariamente datos confidenciales a terceros como Google y Microsoft. Lo que preocupa es lo fácil que es habilitar estas funciones y que la mayoría de los usuarios las habilitarán sin darse cuenta realmente de lo que sucede en segundo plano”.
- La corrección ortográfica puede ocurrir en todos los sitios web, siempre y cuando estés usando Edge/Chrome y tengas en funcionamiento sus funciones mejoradas de corrección ortográfica.
- La empresa de seguridad de JavaScript subrayó los nombres de empresas y servicios que podrían verse afectados por el problema. Aquí están incluidos Alibaba: servicio en la nube, Office 365 y Google Cloud: administrador secreto. AWS: Secrets Manager y LastPass se incluyeron originalmente en la lista, pero otto-js dijo que ambos «ya han mitigado completamente el problema».
¿Cómo se pueden prevenir problemas con esta función?
- Mantener intacta y desactivada la función de revisión ortográfica mejorada de Chrome y el complemento del navegador Edge.
- Otra forma adicional para que las empresas puedan prevenir el problema del corrector ortográfico es mediante la adición de «spellcheck=false»: “Las empresas pueden mitigar el riesgo de compartir la PII de sus clientes agregando ‘spellcheck=false’ a todos los campos de entrada, aunque esto podría crear problemas para los usuarios. Alternativamente, puede agregarlo solo a los campos de formulario con datos confidenciales. Las empresas también pueden eliminar la capacidad de ‘mostrar contraseña’.
- Hacer todo esto impedirá que se envíen las contraseñas de los usuarios. Las empresas también pueden usar un software de seguridad del lado del cliente como otto-js para monitorear y controlar scripts de terceros.
La compañía de seguridad desconoce si los datos transmitidos a Microsoft y Google se almacenan o cómo se gestionan. Microsoft todavía no ha publicado ningún comentario al respecto. Sin embargo, un portavoz de Google le dijo a BleepingComputer que «Google no lo adjunta a ninguna identidad de usuario y solo lo procesa en el servidor temporalmente». Esperemos que sea así.
