Debido a las avanzadas técnicas que utilizan los piratas informáticos para hacerse con nuestras contraseñas y poder iniciar sesión en las distintas plataformas online con nuestros datos, uno de los consejos básicos a la hora de elegir una contraseña es que esta sea compleja, y evitar además reutilizarla en otros registros. Esto hace que, con el paso del tiempo, sea complicado recordar tantas contraseñas diferentes, por lo que solemos recurrir, principalmente, a dos técnicas, utilizar gestores de contraseñas y aprovechar las opciones de auto-completar del navegador para no tener que introducirlas cada vez que iniciamos sesión.

Lejos de entrar en si realmente es seguro regalar nuestras contraseñas a una empresa privada y totalmente opaca, como LastPass, utilizar un gestor de contraseñas es, probablemente, la mejor forma de utilizar contraseñas complejas y diferentes en todos los sitios donde nos registramos. El principal problema es el auto-completar que nos ofrece nuestro navegador cuando vamos a iniciar sesión en una web, una función muy cómoda pero muy perjudicial para la privacidad (además de para la seguridad), sobre todo después de los nuevos ataques informáticos que han aparecido en la red.

Tal como muestra el medio Freedom to Tinker, recientemente han aparecido una serie de scripts ocultos en páginas web que engañan al navegador para que este les revele, mediante la función de auto-completar, las direcciones de correo de los usuarios, incluso las contraseñas, simplemente con visitar una página web que oculte dicho script.

Esta técnica puede ser utilizada fácilmente para enviar a un servidor remoto estos datos y recopilarlos, pero también para seguir al usuario, saber qué webs visita y tener el control completo sobre su actividad.

Cómo podemos probar este fallo de seguridad en las funciones de auto-completar

Si queremos probar cómo nos afecta este fallo y cómo funciona, podemos hacerlo fácilmente accediendo al siguiente enlace. Esta web cuenta básicamente con dos cuadros de texto, el primero de ellos reservado para un correo y el segundo para una contraseña.

Introducimos en estos cuadros los valores que queramos (no tiene por qué ser reales), y pulsamos sobre “Submit” para que el navegador registre esta información y la guarde en su base de datos para que se pueda auto-completar en caso de necesitarlo.

Así, una vez guardada la información, podremos ver cómo en el cuadro superior de la página nos aparece esta información sin que nosotros la hayamos introducido en ningún cuadro de texto.

Este fallo de seguridad afecta a prácticamente cualquier navegador con función de auto-completar, y no solo con el gestor de contraseñas de cada navegador, sino que también afecta con otros que cuenten con esta función, como, por ejemplo, LastPass. 1Password, como no tiene auto-completar, no está afectado por este problema.

Cómo protegernos de este fallo de seguridad para evitar el robo de contraseñas

Como hemos dicho, este fallo se debe a la función de auto-completar de los navegadores y de las extensiones que gestionan nuestras contraseñas. Por ello, la mejor (y única) forma de protegernos de este fallo de seguridad es desactivando estas funciones de auto-completar, tanto en el propio navegador como en los gestores de contraseñas como LastPass.

Si queremos una seguridad un poco superior, entonces también podemos utilizar algún bloqueado de scripts (como NoScript en Firefox) para evitar que estos scripts maliciosos se ejecuten y puedan hacerse con nuestros datos.

¿Sueles utilizar a menudo la función de auto-completar en tu navegador?