14Aug
Los anunciantes han encontrado una nueva forma de seguirlo. Según Freedom to Tinker, algunas redes publicitarias ahora están abusando de las secuencias de comandos de rastreo para capturar las direcciones de correo electrónico que su administrador de contraseñas llena automáticamente en los sitios web.
Pero empeora: podrían usar esa tecnología para capturar sus contraseñas también, si quisieran. Esto afecta a todos los que usan un administrador de contraseñas, ya sea un administrador de contraseñas integrado como el de Chrome, Firefox o Edge, o una extensión del navegador como LastPass. Como resultado, probablemente debas desactivar la función de autocompletar para evitar que esto suceda.
Cómo se está filtrando la autocomplementación de su información
Cuando guarda su nombre de usuario y contraseña en un sitio web, su administrador de contraseñas los recuerda. A partir de ese momento, intentará llenarlos automáticamente con los campos de nombre de usuario y contraseña que ve en ese sitio web. Esto hace que iniciar sesión más rápido, ya que solo tiene que hacer clic en "Iniciar sesión".
Pero algunos scripts de publicidad de terceros, los que casi todos los sitios web utilizan, están empezando a usarlos para rastrearlo. Se ejecutan en segundo plano, crean cuadros de acceso y contraseña falsos que ni siquiera puedes ver, y capturan las credenciales que tu administrador de contraseñas llena en ellos.
Puede ver este problema visitando esta página de demostración. Complete una dirección de correo electrónico y una contraseña falsas, y se le pedirá que la guarde en el administrador de contraseñas de su navegador. Continúe y se rellenará automáticamente en segundo plano, con el script capturando la dirección de correo electrónico y la contraseña.
Este sitio de demostración actualmente no muestra ningún problema si usa LastPass, pero cualquier cosa que llene automáticamente nombres de usuarios y contraseñas sin intervención del usuario( LastPass incluido) es teóricamente vulnerable.
Necesita contraseñas únicas en todas partes, por lo que los administradores de contraseñas siguen siendo esenciales
Este problema demuestra la importancia de utilizar contraseñas únicas en cada sitio web. No se trata simplemente de un ataque teórico: en realidad, los anunciantes lo están usando en 1110 de los sitios web con más de un millón de usuarios, según Freedom to Tinker. Los anunciantes actualmente solo usan esta técnica para capturar nombres de usuario y direcciones de correo electrónico, pero no hay nada que les impida capturar contraseñas, si alguna vez se encontrara en un estado de ánimo particularmente infame.
Si un anunciante capturó su contraseña en un sitio web, lo peor que alguien con esos datos podría hacer es iniciar sesión en ese sitio web. Eso no es ideal, pero no es lo peor que podría pasar. Si usa la misma contraseña para ese sitio web que para su cuenta de correo electrónico, esa persona podría acceder a su cuenta de correo electrónico y usarla para obtener acceso a sus otras cuentas. Eso es lo peor que podría pasar.
Es por eso que todavía recomendamos el uso de un administrador de contraseñas, pase lo que pase. Con todas las cuentas diferentes que la persona promedio tiene en línea y la frecuencia de los ataques contra estos sitios web, es imperativo que use una contraseña única para cada sitio que visite. La mejor manera de hacerlo es con un administrador de contraseñas: no arroje al bebé con el agua del baño.
Protéjase al deshabilitar Autocompletar
Sin embargo, aún puede mitigar parte del riesgo de estos scripts al deshabilitar la función de autocompletar en su administrador de contraseñas. Por ejemplo, si usa LastPass( que actualmente no se ve afectado por estos scripts, pero teóricamente podría serlo), la función de autocompletar rellena los campos de inicio de sesión con sus credenciales para que pueda hacer clic en "Iniciar sesión".Si deshabilita la función de autocompletar, tendrá que hacer clic en el icono de LastPass en un campo de contraseña y hacer clic en su nombre de usuario para completar su información guardada. Solo lo hará cuando intente iniciar sesión, por lo que debería proteger sus credenciales para que no se recoja. Ya no los estás rociando en todas las páginas.
También puede copiar y pegar nombres de usuario y contraseñas desde el administrador de contraseñas de su elección, y eso lo haría aún más seguro, pero significativamente menos conveniente. Creemos que elegir iniciar autofill manualmente solo en las páginas de inicio de sesión debería ser un buen término medio entre la seguridad y la comodidad. Si esas páginas de inicio de sesión se vieron comprometidas con una secuencia de comandos de este tipo, de todos modos, nada podría ayudarlo: la secuencia de comandos podría leer los detalles de inicio de sesión incluso si los copió y los pegó, o los ingresó manualmente.
Desafortunadamente, la mayoría de los administradores de contraseñas de navegador no le permiten desactivar el autocompletar. No hay manera de deshabilitar la función de autocompletar si está utilizando el administrador de contraseñas integrado en Google Chrome o Microsoft Edge, por ejemplo. Chrome tiene una opción para deshabilitar la función de autocompletar, pero solo deshabilita la autocompletación de datos como direcciones y números de teléfono, no contraseñas. Existe una opción para deshabilitar la función de autocompletar contraseñas en el administrador de contraseñas de Mozilla Firefox, pero está oculta en about: config.
Si está utilizando el administrador de contraseñas integrado en Chrome o Edge, le recomendamos que cambie a un administrador de contraseñas de terceros que ofrezca más control, como LastPass o 1Password.1Password no se ve afectado por este problema porque no incluye una función de autocompletar automático.
En LastPass, puede desactivar la función Autocompletar haciendo clic en el botón de la extensión LastPass en la barra de herramientas del navegador y haciendo clic en "Preferencias".Desmarque la opción "Completar automáticamente la información de inicio de sesión" en General y luego haga clic en "Guardar" para guardar sus cambios.
Si quieres seguir usando el administrador de contraseñas de Firefox, debes escribir "about: config" en la barra de direcciones de Firefox y presionar Enter. Verá una pantalla de advertencia que le informa que cambiar varias configuraciones aquí podría causar problemas. No se preocupe, si solo cambia la configuración única que señalamos, estará bien. Haga clic en "Acepto el riesgo" para continuar.
Escriba "autofillForms" en el cuadro de búsqueda y haga doble clic en la preferencia "signon.autofillForms" para establecerlo en "false".Firefox ya no autocompletará nombres de usuario y contraseñas sin su permiso.
Si está utilizando otro administrador de contraseñas, debe abrir sus preferencias y desactivar la opción "autocompletar" o "completar automáticamente" para asegurarse de que su administrador de contraseñas no filtre su información personal.
Los desarrolladores de navegadores de contraseñas y contraseñas necesitan reconsiderar los administradores de contraseñas para que sean más seguros. No deberían tratar de completar automáticamente sus datos de inicio de sesión en cada página web que visita en un sitio web en particular. Eso es solo pedir problemas. Pero, por ahora, puede desactivar la función de autocompletar para estar más seguro. Crédito de imagen de
: vladwei / Shutterstock.com.
