Vulnerabilidad del Autocompletado de Contraseñas en Navegadores

By /

Cada vez es más habitual que los navegadores web se encarguen de recordar las contraseñas e integren sus propios gestores, lo que aporta comodidad. Sin embargo, esta creciente dependencia del autocompletado y la sincronización automática esconde un problema subyacente: almacenar todas las contraseñas y otros datos sensibles en un solo lugar. Esto puede traer ciertos problemas y convertir al navegador en un objetivo ideal para el malware.

El Riesgo de Almacenar Contraseñas y Datos Sensibles en el Navegador

Utilizar las funciones de autocompletado del navegador expone los datos sensibles a posibles fallos o ciberataques. Aunque resulta cómodo y ahorra tiempo, puede convertirse en un punto vulnerable que los atacantes podrían explotar. Según expertos en seguridad, uno de los mayores errores es utilizar el gestor de contraseñas integrado en los navegadores.

Información que Almacena el Navegador

El navegador no solo almacena contraseñas, también guarda:

  • Direcciones
  • Datos de tarjetas de crédito
  • Números de teléfono
  • Historial de navegación
  • Preferencias de uso

Esto es especialmente riesgoso si no se utilizan medidas de seguridad adicionales como la autenticación multifactor o verificación en dos pasos. Además, los desarrolladores de navegadores dan por hecho que tanto tu dispositivo como tu cuenta están bien protegidos, lo que implica que cualquier programa que se ejecute desde la cuenta de tu computadora actúa en tu nombre y, por ende, debería poder extraer y descifrar información almacenada.

Esquema de datos personales almacenados en el navegador

Impacto del Compromiso de Datos Sensibles

  • Cuentas bancarias y tarjetas de crédito: Si esa información llegara a terminar en malas manos, se tendrían problemas serios, ya que son datos confidenciales y sensibles.
  • Redes sociales: Son plataformas muy codiciadas por los piratas informáticos. Un problema grave de comprometer las redes sociales es que podrían suplantar tu identidad.
  • Cuentas en general: Aquellas que no tienen verificación en dos pasos son más vulnerables. La autenticación en dos pasos (2FA) significa que se tendrá que poner un código adicional para iniciar sesión desde otro equipo.

Vulnerabilidad del Autocompletado

La vulnerabilidad afecta a navegadores como Chrome, Safari y Opera, permitiendo a los hackers robar datos personales y confidenciales de los usuarios. Aunque la función de autocompletar acelera el trabajo y ahorra tiempo al rellenar datos en varios cuadros, la vulnerabilidad descubierta por el especialista Kuosmanen permite que los navegadores rellenen cuadros de texto sin que el usuario lo sepa.

El problema ocurre cuando un script de terceros inserta un formulario invisible en una página con los campos de usuario y contraseña; el navegador le entrega esos datos al script sin que el usuario se entere. Si un editor inserta de forma directa en su sitio un código de terceros, en vez de aislarlo en un iframe, el script se trata como si viniera del mismo origen del editor. Kuosmanen ha demostrado en el foro especializado Github cómo una web maliciosa, que en principio requiere únicamente el nombre y correo electrónico del usuario, puede incluir otros recuadros adicionales ocultos en los que pide más datos personales, incluidas contraseñas y números de tarjetas bancarias. Aunque Chrome solicita el código CVC/CVV antes de rellenar el resto de datos bancarios, según este especialista, es preferible desactivar la función ‘autocompletar’ para evitar cualquier riesgo.

Seguridad informática: vulnerabilidad de las contraseñas

Navegadores Afectados y Mecanismos de Almacenamiento

La vulnerabilidad afecta a todos los navegadores salvo a Firefox. Por el momento, ninguno de los programas implicados se ha pronunciado al respecto.

Google Chrome y otros navegadores que se basan en el motor Chromium (como Opera y Yandex.Browser) siempre almacenan los datos del usuario en el mismo lugar, por lo que los stealers no tienen problema para encontrarlos. Aunque en teoría esta información se almacena de manera cifrada, el malware solo necesita hacer una solicitud a la herramienta de descifrado del navegador para acceder a ella.

Firefox funciona de un modo algo diferente. Para esconder las bases de datos de contraseñas, entre otros, de los extraños, el navegador crea un perfil con un nombre al azar para que el malware no sepa, en un principio, dónde buscar. Además, es el único navegador que ofrece protección extra para información guardada contra terceras partes, permitiendo crear una contraseña maestra que debe introducirse cuando se necesite descifrar información para usarla en un campo de autocompletado.

Los navegadores nativos de Windows usan un almacenamiento especial para la información, cuyo método preciso y tipo de almacenamiento dependen de la versión de la aplicación. Sin embargo, en cualquier caso, la fiabilidad deja mucho que desear.

Escenarios de Amenaza: El Secuestro del Navegador (Browser Hijacking)

Uno de los escenarios más peligrosos es el “browser hijacking”, o secuestro del navegador. Este método permite que una extensión maliciosa o programa no autorizado modifique el comportamiento del navegador sin el conocimiento del usuario. Las consecuencias pueden ser severas:

  • Redirecciones a páginas falsas
  • Cambios en el motor de búsqueda
  • Publicidad invasiva
  • Robo de credenciales y datos personales

Estos ataques no siempre requieren sofisticación, ya que a veces basta con instalar una extensión no confiable o que un malware acceda al perfil de Chrome. Al final, el daño puede ocurrir antes de que se tenga la oportunidad de reaccionar.

Ataques de Phishing

El phishing es uno de los métodos de estafa más usados por delincuentes informáticos. Permite obtener información confidencial de forma fraudulenta, donde el estafador (conocido como phisher) se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza. Puede robar dinero, suplantar identidades, vender datos personales o enviar publicidad. Si el malware se cuela en tu computadora, la información almacenada en tu navegador corre peligro y, con ella, tus finanzas y reputación.

Ilustración de un ataque de phishing con anzuelo y datos personales

Cómo Proteger Tu Información

Para protegerse, es recomendable tomar medidas proactivas y utilizar el navegador con cautela.

Recomendaciones Generales

  • Instalar una solución de seguridad de confianza que mantendrá las infecciones a raya.
  • Utilizar un gestor de contraseñas externo, que administre las contraseñas de forma cifrada, separado del navegador y con un sistema de acceso mucho más controlado. Algunos gestores de contraseñas de confianza son Bitwarden, 1Password o KeePass.
  • Activar siempre la verificación en dos pasos (2FA), especialmente en cuentas personales.
  • Evitar compartir el acceso al navegador.
  • Revisar y desinstalar extensiones que no se usen o no se reconozcan.
  • Borrar el caché del navegador por completo, el cual almacena temporalmente determinadas partes de los sitios web que visitas.
  • No dejar información importante, como los datos de tus tarjetas bancarias, al cuidado de tu navegador. En su lugar, introdúcelos manualmente en cada ocasión (tardarás más, pero es más seguro).

Desactivar el Autocompletado de Contraseñas

Kuosmanen sugiere desactivar el sistema para evitar este tipo de ataques hasta que los responsables de estos navegadores resuelvan el fallo. Mientras se hace algo, se recomienda desactivar el autocompletado de contraseñas en los navegadores.

Pasos para desactivar la función "Autocompletar":

  • En Chrome:
    • Acceder al menú de configuración y allí a las opciones avanzadas.
    • En "Configuración avanzada", buscar la sección de contraseña y formularios y desmarcar la casilla "Habilitar la función Autocompletar para rellenar formularios web con un solo clic".
  • En Safari:
    • Acceder al menú de "Preferencias", seleccionar "Autocompletar" y desmarcar todas las casillas.
  • En Opera:
    • En "Herramientas", buscar "Opciones" y acceder al "Historial".

Uso de Contraseña Maestra en Firefox

Si usas Firefox, puedes proteger la información almacenada en el navegador con una contraseña maestra. Para ello:

  1. Haz clic en las tres barras de la parte superior derecha.
  2. Haz clic en Opciones.
  3. Ve a Privacidad y Seguridad.
  4. Localiza la parte de Formularios y contraseñas.
  5. Selecciona la opción Usar una contraseña maestra.

tags: #password #autocomplete #in #browser #vulnerabilidad

Publicaciones populares:

  • Marco legal para la finalización de pensiones de invalidez
  • Beneficios de salud para la tercera edad
  • El financiamiento de la industria bélica por AFP
  • Enfoque paliativo para mieloma múltiple
  • Conoce la subvención para niños y adolescentes en Sename