Una de las funciones más útiles de los navegadores web, como ser la de guardar y autocompletar contraseñas, se convirtió súbitamente en un problema: investigadores descubrieron que dos compañías de marketing están aprovechando esa función para hacer seguimiento y guardar direcciones de correo electrónico de los usuarios.
¿Cómo exactamente? Para entender el problema, hay que entender como funciona el autocompletado de contraseñas. Los datos guardados por el navegador son rellenados de forma automática cada vez que en una página aparecen los campos de usuario y contraseña, la mayoría de las veces sin que haya intervención del usuario.
El problema ocurre entonces cuando un script de terceros inserta un formulario invisible en una página con los campos de usuario y contraseña; el navegador le entrega esos datos al script sin chistar y sin que el usuario sepa. Luego, los datos (normalmente, solo el correo) se envían a una base de datos externa y según los investigadores, «las direcciones de correo son únicas y persistentes, por lo que el hash con esa dirección es un excelente identificador para hacer rastreo».
En Freedom to Tinker indican que la vulnerabilidad ha existido desde hace 11 años porque «desde la perspectiva de seguridad, no hay vulnerabilidad alguna y todo funciona como debe funcionar»:
Los investigadores crearon una página de demostración donde explican de forma muy académica como funciona la vulnerabilidad. Todos los navegadores que usamos en nuestras pruebas capturaron de forma correcta al menos el correo electrónico y en el caso del nuevo Firefox (versión 57.0.1), incluso se capturó la contraseña.
Ups
¿Cómo evitar que esto siga pasando? Mientras alguien hace algo, se recomienda desactivar el autocompletado de contraseñas en los navegadores. Y además, los gestores de contraseñas externos como 1Password no sufren con la vulnerabilidad.
La investigación concluyó que al menos 1.110 sitios utilizaban este tipo de scripts y que las compañías AdThink y OnAudience son las que más réditos sacan de esta práctica, alimentando sus bases de datos con la información (y la actividad) de quien sabe cuantos usuarios de internet.
