Cuando hablamos de seguridad de un sistema o una aplicación uno rara vez se plantea que de lo que estamos hablando realmente es de riesgos y la minimización de éstos, es decir, cuanto más seguro consideramos un sistema menor es el riesgo de que sea vulnerado y, por tanto, mayor es la confianza que tenemos en dicho sistema o aplicación. Teniendo en cuenta las horas que podamos pasar navegando por la red, la seguridad es un aspecto fundamental en nuestro navegador puesto que, además de permitirnos el acceso a nuestro correo electrónico, también nos abre las puertas de nuestras aplicaciones corporativas o de la banca electrónica. Son muchas las aplicaciones web que para evitar keyloggers instalados en los equipos de los usuarios nos presentan teclados virtuales sobre los que hacemos clic, sin embargo, la empresa Spider.io parece haber encontrado una vulnerabilidad en todas las versiones de Internet Explorer que permitiría a un tercero monitorizar los movimientos del ratón de un usuario y podría entrañar riesgos para los usuarios de teclados virtuales.
Dicho de otra forma, esta vulnerabilidad (que según parece ha sido testada desde Internet Explorer 6 al 10) permitiría a un tercero obtener información de los movimientos de nuestro ratón, incluso cuando la ventana del explorador esté minimizada. La vulnerabilidad está vinculada a una de las funciones que realizan aplicaciones de analítica web (negocio al que se dedica precisamente Spider.io) puesto que captan información de los movimientos del ratón del usuario para trazar mapas de calor con las zonas que más se visitan y, así, plantear un rediseño o una reorganización de la información y, en este caso, podría aprovecharse insertando un "anuncio malicioso" en alguna web para esconder código que aproveche esta vulnerabilidad.
¿Y en qué afecta al usuario? Realizar esta monitorización en una página que presente al usuario un teclado virtual (como los que se ofrecen en algunos servicios de banca online) puede presentar un riesgo de captura de los datos de acceso aunque este escenario es algo complicado puesto que, como seguridad adicional, muchas entidades bancarias mueven la disposición de las teclas de dichos teclados virtuales para que las posiciones no puedan registrarse y, claro está, el tercero que recopila los datos debe saber qué página estamos visitando.
Aunque el riesgo es relativo parece que Microsoft no ha hecho mucho por minimizarlo puesto que Spider.io notificó su hallazgo el pasado mes de octubre y los de Redmond no lo han solventado, así que para presionarlos un poco han decidido hacer público el fallo con la idea de forzar una reacción en las filas de Microsoft.