Muchas webs que manejan información delicada o están relacionadas a transacciones financieras, como por ejemplo la plataforma online de una empresa cualquiera o por supuesto, bancos, suelen facilitar a las personas que desean acceder a ellas un teclado virtual con la intención de que, al no estar tecleando nada, no pueda ser registrado ningún tipo de información de cuenta, usuario o contraseñas de las personas, por algún hacker malintencionado o software de vigilia, lo que es comúnmente conocido como "keylogger". Sin embargo, una nueva vulnerabilidad descubierta por una empresa dedicada al desarrollo de programas de analítica web, pondría en riesgo a los teclados virtuales.
Como se puede apreciar en el vídeo demostrativo anterior, esta vulnerabilidad permitiría al hacker registrar todos los movimientos que realice el mouse o ratón del usuario, por lo que cuando utilicemos uno de estos teclados virtuales tan comunes en las webs de nuestros bancos, igualmente podría quedar un registro de la contraseña que introdujimos para acceder a la plataforma.
La vulnerabilidad ha sido descubierta por la empresa Spider.io que, como mencioné anteriormente, se dedica al desarrollo de software de aplicaciones de analítica web. Lo más grave del asunto es que la vulnerabilidad de seguridad ha sido descubierta en Internet Explorer desde la versión 6 a la 10, por lo que al estar hablando de uno de los navegadores web más utilizados en el mundo (por no decir el más utilizado), supone un riesgo considerable, para cualquier persona.
No obstante, tenemos que tomar en cuenta que esto es mucho más complicado de lo que suena, ya que la persona malintencionada que intente hacerse con la contraseña o datos que estamos introduciendo en un teclado virtual, tiene que conocer exactamente que web estamos visitando, además, el sistema de seguridad de bancos y plataformas con información sensible suele cambiar de posición las teclas en el teclado virtual, como muchos de nosotros ya habremos comprobado, por lo que la tarea para el hacker se le torna mucho más difícil.
Un detalle curioso y criticable es que, aunque los de Spider.io aseguran haber notificado a Microsoft el pasado mes de octubre de este fallo, aún no lo han resuelto ni han realizado un comunicado oficial al respecto.