La función autocompletar que ofrecen muchos navegadores es una herramienta útil para ahorrar tiempo a la hora de rellenar formularios ‘online’. Los programas incluyen toda la información necesaria sin que el usuario tenga que pasar de un campo a otro para escribir datos que suelen repetirse en la mayoría de estos documentos. Sin embargo, lo que en principio podría suponer sólo ventajas para trabajadores y particulares, lleva asociado riesgos de seguridad.
Este tipo de funcionalidad puede ser utilizada por los ciberdelincuentes para perpetrar ataques de ‘phishing’, con el fin de recopilar datos de los usuarios a través de campos ocultos. Cuando el internauta permite al navegador rellenar la información del formulario, éste completaría también una serie de espacios que la pantalla no muestra. De esta manera, cuando el individuo envía el documento, estaría también mandando información personal a los ciberdelincuentes sin percatarse de ello.
El desarrollador finlandés Viljami Kuosmanen ha desvelado cómo funcionan este tipo de ataques con una demostración práctica. Ha creado un formulario en el que solo pueden verse los campos “nombre” y “correo electrónico”, junto con un botón de “enviar”. No obstante, el código fuente de la página web guarda algunos secretos ocultos al usuario: allí figuran otros seis campos (teléfono, organización, dirección, código postal, ciudad y país), que el navegador también rellena automáticamente si el internauta tiene activada la función de autocompletar.
El método constituye una estrategia sencilla para obtener todo tipo de información personal que, según las pruebas de Kuosmanen, puede utilizarse tanto en Chrome como en Safari. Otros navegadores como Opera también ofrecen la función de autocompletar y Mozilla Firefox está trabajando para implementarla.
Afortunadamente para los usuarios, es posible desactivar esta opción en los ajustes del programa sin demasiada dificultad. Sin embargo, deben molestarse en hacerlo, pues los navegadores la ejecutan por defecto sin pedir permiso antes.
Se trata de una grave amenaza para la seguridad de la información personal y corporativa difícil de detectar pues, a diferencia de lo que ocurre con otro tipo de ataques, el usuario no visualiza ningún enlace ni otro tipo de muestras que pudieran llevarle a sospechar de la web que tiene abierta.
Por ello, lo más aconsejable es deshabilitar la opción en el navegador, aunque esto signifique perder un poco más de tiempo en rellenar los dichosos formularios.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
