Tanto Google Chrome como Microsoft Edge son navegadores que incluyen correctores ortográficos entre su amplio abanico de funciones. Por lo tanto, siempre puedes estar seguro de que estás escribiendo de forma correcta, y que no vas a hacer el ridículo en ese correo de trabajo. Hoy, sin embargo, un descubrimiento asegura que esta herramienta podría exponer tus contraseñas más importantes, sumando así otra vulnerabilidad que debe ser atendida cuanto antes.
Un estudio llevado a cabo por Otto, compañía especializada en ciberseguridad, así lo demuestra. En su investigación, el grupo descubrió que, para funcionar, la revisión ortográfica extendida de Google Chrome y Microsoft Edge transmite todo lo que ingresas para su verificación. El problema es que incluye más información de la que debería, incluyendo tus contraseñas.
Todavía más preocupante, la información sensible como tus credenciales de acceso se comparten sin ningún tipo de cifrado. Lo más sorprendente de todo es que Otto terminó descubriendo esto por puro accidente, mientras probaba su detección de comportamientos de script.
Josh Summitt, cofundador y CTO de Otto, comenta que casi todo lo que un usuario ingresa en campos de texto mientras el corrector ortográfico se encuentra activo se envía posteriormente a los servidores de Microsoft y Google.
Por supuesto, los campos de formulario incluyen contraseñas. Esto sucede cuando el usuario, tras ingresar su clave, presiona el botón de Mostrar contraseña con el corrector ortográfico activo. En ese momento, los caracteres son enviados a los servidores de ambas compañías y, en muchas ocasiones, también se incluyen correos electrónicos y nombres de usuario.
El uso del botón Mostrar contraseña es bastante conocido y popular. Muchos usuarios lo utilizan para asegurarse de que la han escrito correctamente, y así evitar mensajes de error. Sin embargo, si cuentas con el corrector autográfico activo en tus navegadores, podrías estar poniendo tus datos en serio peligro.
El medio BleepingComputer hizo la prueba con varios sitios web de alto nivel. Entre ellos, incluyeron a CNN, Facebook, SSA.gov, Bank of America y Verizon. Todos ellos enviaron información a Google y Microsoft, aunque no todos incluyeron las contraseñas.
En el caso de los tres últimos, solo se envió el nombre de usuario de la persona. Mientras que los dos primeros, además, incluyeron la contraseña al tocar sobre Mostrar contraseña.