Robando usuario y contraseña mediante formularios ocultos y la opción de auto-completar

Una nota muy breve sobre seguridad y privacidad.

Comentaban en Freedom to Tinker (via The Verge) hace un par de días que han encontrado en numerosas webs formularios ocultos embebidos en el contenido HTML de la web con el único fin de recolectar e-mails con el objetivo de seguir la actividad del usuario. Añaden que no han encontrado pruebas de que se esté recogiendo la contraseña por la misma vía.

Sin embargo, el mismo método que sirve para recuperar un campo (usuario) sirve para recuperar el otro (contraseña), por lo que no podemos estar seguro que eso no suceda, o haya sucedido ya en el pasado por parte de atacantes maliciosos.

Soluciones drásticas tipo eliminar soporte para scripting en los navegadores (Daring Fireball) ayudan a enmarcar el problema de seguridad, pero no sirven aquí pues en realidad supondrían amputar el brazo para evitar una venda a causa de un esguince.

Lo que sí sirve es la vieja y sanísima costumbre de no guardar credenciales de acceso en el navegador. ¿Desea recordar este usuario y contraseña? NO. Y eso es lo que quería dejar por aquí escrito. Siempre fue un buen consejo y visto lo visto, sigue vigente y cada vez es mejor consejo: no almacenes usuario/contraseña de ninguna web usando los sistemas del navegador que luego le permiten autocompletar formularios.

[Este post ha estado en borrador demasiados días, tantos que se nos ha metido entre medias el gran asunto de seguridad reciente, las conocidas vulnerabilidades a nivel de hardware en todos los chips Intel y también en AMD y ARM. Es todo muy interesante, cuando tenga tiempo escribo al respecto.]

Una respuesta a “Robando usuario y contraseña mediante formularios ocultos y la opción de auto-completar”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *