Así se pueden robar tus datos usando los perfiles de autocompletado de tu navegador

Como usuarios siempre estamos en busca y captura de formas de ahorrar tiempo y esfuerzo. Es por eso que casi todo el mundo usa la función de autocompletado de los navegadores web, con la que se puede introducir información típica en unos pocos clics. Nadie puede dudar de que se trata de una característica muy útil.

Y sin embargo, según lo publicado en Bleeping Computer las características de autocompeltado pueden usarse para robar datos personales en campañas de phishing. Y basta con utilizar formularios con campos ocultos para extraerla sin que el usuario lo sepa, de forma totalmente opaca y sin que sospeche.

El fallo ha sido descubierto por el especialista en seguridad finlandés Viljami Kuosmanen. En su cuenta de Twitter ha colgado un GIF en el que se puede ver una demostración de cómo funciona este procedimiento:

En la demo se ve que es posible y muy, muy fácil usar campos ocultos para recolectar toda la información del perfil de autoguardado. Y sólo es una de las muchas cosas que puede hacer un hacker.

Un vistazo a…
ROBO DE DATOS y PAQUETES NO SOLICITADOS QUÉ es el BRUSHING

Así se extraen datos del autocompletado

Para hacerlo se usa una web creada para la ocasión. Basta con invitar a los usuarios a que rellenen su nombre y su dirección de email. A partir de ahí, el hack se aprovecha de que al introducir la primera letra de su nombre el usuario usará la sugerencia de autocompletado tan rápido como aparezca.

Así los datos se rellenan automáticamente, y aunque la persona que los ha introducido pueda pensar que el navegador estaba, por ejemplo, introduciendo su dirección de correo electrónico por él, en realidad estaba almacenando sus datos personales. No sólo la dirección electrónica, sino que también se puede conseguir la postal, el número de teléfono y otros detalles.

Esta técnica es muy similar a la que se usa en herramientas como LastPass y otras extensiones para navegador web similares que almacenan datos del usuario, que siempre generan controversia. Es un método muy simple que podría resultar de gran utilidad en campañas de phising que hagan uso de la fuerza bruta.

En declaraciones al medio, Kuosmanen dijo:

Hace tiempo que conocía este problema. Algo similar (honeypots) se usa para atrapar a bots y evitar el spam. Esto parte de la misma idea, solo que a quienes se atrapa es a usuarios reales en lugar de a bots. La idea para la demo me vino después de que Chrome se pusiera a rellenar por sí mismo y erróneamente los campos de una web de comercio electrónico. Después fui a ver qué detalles había guardado Chrome para el autocompletado y me sorprendió la cantidad de información disponible.

Por ahora el único consejo que podemos dar es desactivar la función de autocompletado. Es la única manera existente (por ahora) de saber que tus datos personales están a salvo.

Vía | Bleeping Computer
Imagen | Pexels
En Genbeta | El phishing como un servicio: esta web permite hacerlo a cualquiera sin conocimientos técnicos

Ver todos los comentarios en https://www.genbeta.com

VER 5 Comentarios

Portada de Genbeta