Tanto Google Chrome como Microsoft Edge son navegadores que incluyen correctores ortográficos entre su amplio abanico de funciones. Por lo tanto, siempre puedes estar seguro de que estás escribiendo de forma correcta, y que no vas a hacer el ridículo en ese correo de trabajo. Hoy, sin embargo, un descubrimiento asegura que esta herramienta podría exponer tus contraseñas más importantes, sumando así otra vulnerabilidad que debe ser atendida cuanto antes.
Un estudio llevado a cabo por Otto, compañía especializada en ciberseguridad, así lo demuestra. En su investigación, el grupo descubrió que, para funcionar, la revisión ortográfica extendida de Google Chrome y Microsoft Edge transmite todo lo que ingresas para su verificación. El problema es que incluye más información de la que debería, incluyendo tus contraseñas.
Todavía más preocupante, la información sensible como tus credenciales de acceso se comparten sin ningún tipo de cifrado. Lo más sorprendente de todo es que Otto terminó descubriendo esto por puro accidente, mientras probaba su detección de comportamientos de script.
Así se llevan Google Chrome y Microsoft Edge tus contraseñas
Josh Summitt, cofundador y CTO de Otto, comenta que casi todo lo que un usuario ingresa en campos de texto mientras el corrector ortográfico se encuentra activo se envía posteriormente a los servidores de Microsoft y Google.
Por supuesto, los campos de formulario incluyen contraseñas. Esto sucede cuando el usuario, tras ingresar su clave, presiona el botón de Mostrar contraseña con el corrector ortográfico activo. En ese momento, los caracteres son enviados a los servidores de ambas compañías y, en muchas ocasiones, también se incluyen correos electrónicos y nombres de usuario.
El uso del botón Mostrar contraseña es bastante conocido y popular. Muchos usuarios lo utilizan para asegurarse de que la han escrito correctamente, y así evitar mensajes de error. Sin embargo, si cuentas con el corrector autográfico activo en tus navegadores, podrías estar poniendo tus datos en serio peligro.
Algunos de los sitios web más grandes del mundo están expuestos a enviar a Google y Microsoft información personal sensible, como el nombre de usuario, el correo electrónico y las contraseñas, cuando los usuarios inician sesión o rellenan formularios. Una preocupación aún más importante para las empresas es la exposición que esto supone para las credenciales empresariales de la compañía a los activos internos como las bases de datos y la infraestructura en la nube.
Josh Summitt, cofundador y CTO de Otto
El medio BleepingComputer hizo la prueba con varios sitios web de alto nivel. Entre ellos, incluyeron a CNN, Facebook, SSA.gov, Bank of America y Verizon. Todos ellos enviaron información a Google y Microsoft, aunque no todos incluyeron las contraseñas.
En el caso de los tres últimos, solo se envió el nombre de usuario de la persona. Mientras que los dos primeros, además, incluyeron la contraseña al tocar sobre Mostrar contraseña.
¿Cómo protegerte de esta vulnerabilidad?
Afortunadamente, existe una forma de evitar que tu información privada sea enviada a los servidores de Google o Microsoft. Es tan simple como desactivar el corrector ortográfico avanzado.
Para hacerlo desde Chrome, solo debes copiar y pegar el siguiente código en tu barra de direcciones y desactiva Corrector ortográfico mejorado.
chrome://settings/?search=corrector+ortografico+mejoradoEn caso de usar Microsoft Edge, el corrector ortográfico se presenta en forma de extensión. Así, solo tienes que buscar su icono entre tus extensiones, y posteriormente seleccionar Eliminar de Microsoft Edge.
Actualización (26/09/2022): Desde el equipo de comunicación de Google España se han puesto en contacto con Hipertextual para compartir su postura oficial al respecto:
“La función de revisión ortográfica mejorada requiere que el usuario la acepte de manera proactiva. La descripción de la configuración dice:
‘Revisión ortográfica mejorada
Utiliza el mismo corrector ortográfico que se utiliza en la búsqueda de Google. El texto que escribe en el navegador se envía a Google.’
El texto escrito por el usuario puede tener información personal sensible y Google no lo asocia a ninguna información de identificación del usuario. Además, solo lo procesa en el servidor de manera temporal. Para garantizar aún más la privacidad del usuario, vamos a trabajar para excluir las contraseñas de forma proactiva del corrector ortográfico.
Agradecemos la colaboración con la comunidad de seguridad. Siempre buscamos formas de proteger mejor la privacidad del usuario y la información confidencial”. - Portavoz de Google