Skip to main content
  1. Casa
  2. Computación

Los correctores ortográficos en Google Chrome podrían exponer tus contraseñas

Por

Si le gusta ser minucioso y usar un corrector ortográfico avanzado, tenemos algunas malas noticias: su información personal podría estar en peligro.

El uso de la revisión ortográfica extendida en Google Chrome y Microsoft Edge transmite todo lo que ingresa para que se verifique. Desafortunadamente, esto incluye información que debe estar estrictamente encriptada, como contraseñas.

Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords

Este problema, reportado por primera vez por la firma de seguridad de JavaScript otto-js, se descubrió accidentalmente mientras la compañía probaba su detección de comportamientos de script. Josh Summitt, cofundador y CTO de otto-js, explica que casi todo lo que ingresa en los campos de formulario con el corrector ortográfico avanzado habilitado se transmite posteriormente a Google y Microsoft.

Recommended Videos

«Si hace clic en ‘mostrar contraseña’, el corrector ortográfico mejorado incluso envía su contraseña, esencialmente deletreando sus datos», dijo otto-js en su informe. «Algunos de los sitios web más grandes del mundo están expuestos a enviar PII [información de identificación personal] confidencial a Google y Microsoft, incluido el nombre de usuario, el correo electrónico y las contraseñas, cuando los usuarios inician sesión o completan formularios. Una preocupación aún más importante para las empresas es la exposición que esto presenta a las credenciales empresariales de la compañía a activos internos como bases de datos e infraestructura en la nube».

Muchas personas usan «mostrar contraseña» para asegurarse de que no han cometido un error tipográfico, por lo que potencialmente, muchas contraseñas podrían estar en riesgo aquí. Bleeping Computer probó esto aún más y descubrió que ingresar su nombre de usuario y contraseña en CNN y Facebook envió los datos a Google, mientras que SSA.gov, Bank of America y Verizon solo enviaron los nombres de usuario.

Tanto Microsoft Edge como Google Chrome vienen con correctores ortográficos incorporados que son bastante básicos. Estas herramientas no requieren ninguna verificación adicional: lo que ingresa permanece dentro de su navegador. Sin embargo, si está utilizando el corrector ortográfico mejorado de Chrome o el corrector ortográfico y gramatical del Editor de Microsoft, todo lo que escriba en el navegador se enviará a Google y Microsoft, respectivamente.

Eso, en sí mismo, no es inesperado. Cuando habilita el corrector ortográfico mejorado en Chrome, el navegador le indica que el «texto que escribe en el navegador se envía a Google». Sin embargo, muchas personas esperarían que esto excluya la PII que a menudo se envía en formularios.

La gravedad de esto depende de los sitios web que visite. Algunos datos del formulario pueden incluir números de Seguro Social y números de Seguro Social, su nombre completo, dirección e información de pago. Las credenciales de inicio de sesión también entran en esta categoría.

Es comprensible que sus entradas se envíen fuera del navegador para utilizar el corrector ortográfico mejorado, pero es difícil no cuestionar qué tan seguro es esto cuando los datos personales también reciben ese mismo tratamiento.

Cómo mantenerse a salvo

Una mano oscura y misteriosa escribiendo en una computadora portátil por la noche.
Andrew Brookes/Getty Images

Si prefiere que sus datos personales no se transmitan a Microsoft y Google, debe dejar de usar el corrector ortográfico avanzado por el momento. Esto significa deshabilitar la función en la configuración de Chrome. Simplemente copie y pegue esto en la barra de direcciones de su navegador: chrome://settings/?search=Enhanced+Spell+Check.

Para Microsoft Edge, el corrector ortográfico avanzado viene en forma de un complemento del navegador, así que simplemente haga clic con el botón derecho en el icono de esa extensión en su navegador y luego toque Eliminar de Microsoft Edge.

Google se ha asegurado de no adjuntar ninguna identidad de usuario a los datos que procesa para el corrector ortográfico. Sin embargo, funcionará en excluir las contraseñas de esto por completo. Microsoft dijo que investigará el problema, pero aún no hizo un seguimiento con Bleeping Computer más allá de eso. Microsoft actualmente tiene otro problema con Edge: los hackers lo están utilizando para ejecutar una campaña de publicidad maliciosa.

Recomendaciones del editor

Topics
Diego Bastarrica
Diego Bastarrica
News Editor
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Esta función de Google hará que digas adiós por siempre a las contraseñas
Una imagen de la función llaves de acceso de Google.

Las contraseñas son problemáticas, y no nada más para ti. Para los desarrolladores significa comprometerse a implementar medidas de seguridad que rara vez son infalibles, pero sobre todo, los hacen lidiar con la posibilidad de que la experiencia de usuario resulte fatal por el simple hecho de que los usuarios no recuerden su contraseña. Y aunque hay alternativas como el gestor de contraseñas de Google, siempre hay cómo mejorar, y con eso en mente Google creó las llaves de acceso, básicamente una forma de autenticarse en un servicio de una manera tan simple como desbloquear tu celular. Bien, esta función solía estar disponible exclusivamente en Android, pero ahora está por llegar a Windows, MacOS, Linux, ChromeOS y por supuesto iOS.
¿Qué son las llaves de acceso de Google?
Understand passkeys in 4 minutes

Una llave de acceso es, explica Google, “una credencial digital vinculada a una cuenta de usuario y un sitio web o aplicación”. La diferencia principal que tienen con las contraseñas que usamos actualmente es que para crearlas no se necesita un nombre de usuario, contraseña o algún otro factor de autenticación. Y es que las llaves de acceso utilizan algún recurso biométrico, como una huella dactilar o el reconocimiento facial, para generar una firma digital para acceder al servicio.

Leer más
No confíes en el inicio de sesión de Google
no confies inicio sesion google chrome

Los piratas informáticos están deslizando contraseñas de las cuentas de Google en Chrome, y puede suceder desde la página oficial de inicio de sesión de Google. El vehículo que se está utilizando se llama AutoIt Credential Flusher, y fue descubierto por los investigadores de OALabs. El ataque te bloquea en tu navegador en la página de inicio de sesión de Google y no te permite salir, todo mientras registras tu correo electrónico y contraseña mientras inicias sesión en tu cuenta de Google.

El ataque aprovecha el "modo quiosco" en Chrome, que es una interfaz limitada de pantalla completa que no tiene elementos como la barra de direcciones o los botones de navegación. Se usa principalmente con fines de demostración: piense en una computadora portátil en exhibición en Best Buy. Y este ataque está utilizando el modo quiosco para molestar a los usuarios lo suficiente como para que entreguen sus contraseñas. También bloquea algunos comandos normales para salir del modo de pantalla completa, como Esc y F11.

Leer más
Los expertos en seguridad acaban de encontrar una falla masiva en los teléfonos Google Pixel
google pixel salvara vidas

Google está parcheando una grave vulnerabilidad a nivel de firmware que ha estado presente en millones de teléfonos inteligentes Pixel vendidos en todo el mundo desde 2017. "Por precaución, eliminaremos esto de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización de software Pixel", dijo la compañía a The Washington Post.

El problema en cuestión es un paquete de aplicación llamado Showcase.apk, que es un elemento del firmware de Android que tiene acceso a múltiples privilegios del sistema. Por lo general, un usuario promedio de un teléfono inteligente no puede habilitarlo o interactuar directamente con él, pero la investigación de iVerify demostró que un mal actor puede explotarlo para infligir daños graves.

Leer más