Si vas a usar autocompletar en Chrome, no pongas el número de tu tarjeta de crédito
¿Pagaste la última compra por Internet utilizando la función autocompletar del navegador? Entonces, tu número de tarjeta podría estar comprometido. Así de contundente es el descubrimiento de Viljami Kuosmanen que está poniendo Internet patas arriba desde que la noticia saltó a principios de semana. Lo más aterrador de todo es que el hallazgo no lo hizo ayer ni el mes pasado. Ni si quiera en 2015: “Descubrí la vulnerabilidad hace años, pero no tengo ni idea de por qué se ha vuelto viral ahora”, explica el hacker a eldiario.es.
Kuosmanen se refiere a un post que colgó en el repositorio de código GitHub donde advertía de que Google Chrome, Safari y Opera tenían un agujero de seguridad en la función autocompletar. Esta característica es la que nos permite rellenar de un clic las cajas en determinados sitios web que nos piden el nombre, los apellidos, la dirección, el email o el número de tarjeta de crédito. “Me enfadaba cuando la función de autocompletar de Chrome ponía datos incorrectos al comprar en Internet, así que eché un vistazo a la configuración”, dice el hacker.
“Me sorprendí con la cantidad de información que estaba disponible ahí y de cómo se habían acumulado tantos perfiles, direcciones y números de teléfonos diferentes”, dice Kousmanen. Retocando ligeramente el código ha conseguido crear un exploit (fragmento de software que aprovecha una vulnerabilidad) que puede ser introducido por un atacante en un sitio web con seguridad deficiente o que fácilmente podría estar incluido en una página de phishing. Lo bueno: que el descubrimiento ya ha corrido como la pólvora por Internet. Lo malo: que probablemente Kousmanen no haya sido el único en darse cuenta del agujero de seguridad y que, según él, ya han transcurrido “varios años” desde que lo hizo.
Toda nuestra información con solo un clic
Desde eldiario.es nos hemos puesto en contacto con Google, que asegura tener “conocimiento del asunto” y estar “trabajando para solucionarlo”. El fallo en Chrome y en el resto de navegadores permite que se autocompleten cajas de texto invisibles. Así, aunque nosotros veamos que la web solo nos pide un nombre y un correo, la función autocompletar también rellenará esas cajas ocultas en las que, probablemente, se encuentre una dedicada al número de tarjeta de crédito. Y aunque parezca difícil de creer, ninguna de esas cajas va cifrada.
El único navegador que se salva es Mozilla Firefox. Según el ingeniero de seguridad Daniel Veditz, que trabaja para la compañía del zorro, “los usuarios tienen que pinchar, hacer doble clic o darle a la flecha de abajo” para escribir en cada caja. En el resto de navegadores, al autocompletarse el primer campo lo hacen todos los demás.
Kuosmanen ha habilitado un pequeño formulario en GitHub para que comprobemos cómo un atacante puede aprovechar la vulnerabilidad. Al introducir nuestro nombre y correo y darle al botón Submit, la siguiente pantalla mostrará la información que guarda la función autocompletar y que ha rellenado de forma automática en las cajas ocultas colocadas por el hacker.
“Para Chrome no hay otra solución que optar por no usar la función de autocompletar”, dice Kuosmanen. Aunque no ha avisado a ninguna de las tres compañías afectadas, “existen muchos informes del bug en el Chromium Project”, explica el finlandés. “Ojalá Twitter sirva para reabrir los temas en el foro”, concluye. Como en el navegador de Google, la única opción momentánea para estar seguros en Safari y Opera es desactivando sus respectivas funciones de autocompletar.