A pesar de los esfuerzos en seguridad de las grandes compañías de internet, el phishing sigue siendo una práctica bastante efectiva para robar datos privados de las personas, principalmente por medio del correo electrónico. Y es que los ciberdelincuentes no descansan en idear nuevos procedimientos que les permitan engañar a los usuarios.

Recientemente, el desarrollador James Fisher descubrió un fallo de Chrome en Android que podría convertirse en un método de phishing muy útil para estafar personas, una situación que puede evitarse si Google interviene oportunamente. Te explicamos cada uno de los pasos involucrados para sacar provecho de la vulnerabilidad.

Al desplazarse hacia abajo en una web, Chrome esconde la barra de direcciones para darle protagonismo al contenido. Si el usuario requiere ingresar una nueva URL, basta con desplazarse hacia arriba para que aparezca nuevamente.

Sin embargo, es posible evitar que la barra de direcciones se vuelva a mostrar. Mediante HTML y CSS (Hojas de estilo en cascada) se puede crear una nueva sección en la web con su propio desplazamiento. Esta puede moverse hacia arriba o hacia abajo sin que el navegador se percate del scroll, por ello la barra no aparece nuevamente.

Para aprovechar lo anterior, Fisher creó una barra sustituta —y falsa— que se mantiene visible en todo momento, ya que Chrome la sigue mostrando aunque el desplazamiento ya no ocurre en el área creada. Es aquí donde se encuentra el fallo; si el scroll ya no ocurre en la nueva sección, la barra original debería aparecer nuevamente, y no es así.

Además, la barra falsa*puede mostrar cualquier URL para intentar engañar a los visitantes. Para su experimento, Fisher usó la dirección de un banco, demostrando que este método puede ser empleado para hacer creer a las personas que se encuentran en una web confiable. Puedes ver su funcionamiento a continuación o visitar la web del desarrollador para comprobarlo tú mismo.

Este método podría generar que los usuarios tengan la confianza de ingresar datos privados. Más allá de crear una barra con una dirección falsa, los ciberdelincuentes pueden desarrollar una web copiando todo los elementos visuales del sitio original, lo cual aumenta las posibilidades de que la trampa funcione. Se espera que Google ofrezca una solución una vez que el problema se hizo público.