El gran fallo de Chrome por el que los «hackers» pueden acceder a tus tarjetas de crédito
Si eres de los que suele hacer compras por internet, lo más probable es que tu navegador tenga almacenados tus datos personales para no tener que introducirlos cada vez que haces un pedido. El usuario suele valerse de esta cómoda opción de la función de autocompletar. Así, evita meter cada dos por tres su nombre, apellidos, email, dirección... y número de la tarjeta de crédito. El problema es que se trata de una comodidad de la que también se valen los ciberdelincuentes.
El «hacker» finlandés Viljami Kuosmanen ha difundido a través de su cuenta de Twitter la facilidad con la que un cibercriminal accede a esa información privada que el usuario almacena en el navegador. Se trata de un error de seguridad en Google Chrome, Safari y Opera.
Este robo de datos se lleva a cabo a través de la famosa técnica del «phishing», muy habitual entre los ciberdelincuentes. Se trata de una estafa con la que obtener los datos personales de un usuario (email, clave, cuentas bancarias, etc.) para poderlos usar de forma fraudulenta. Tal y como recuerda la Oficina de Seguridad del Internatura (OSI), este robo se efectúa gracias a la ingeniería social y de un enlace de tal manera que el cibercriminal redirige al usuario a una página web falsa que aparentemente resulta legítima. Banco Popular o Correos han sido, por ejemplo, víctimas del «phishing».
Así, Kuosmanen ha demostrado cómo Chrome, Safari y Opera comparten la información sensible que almacenan con páginas web maliciosas que engañan al usuario, quien no se percata de nada. El problema es que los navegadores no solo guardan la información de la que el usuario es consciente con la función de autocompletar, sino que además guardan ciertos caracteres que permanecen ocultos.
Por tanto, un «hacker», a través de una página web fraudulenta lo tiene muy fácil para conseguir los datos de la tarjeta de crédito de su víctima quien, al hacer una compra y dejar que el sistema de autocompletar haga su labor, también ofrece esos caracteres ocultos que guardan información tan valiosa como sus datos bancarios, el código CVV o su dirección personal. He aquí la demostración de Kuosmanen:
https://twitter.com/anttiviljami/status/816585860661518336
Para evitar ser víctima de este ataque, el usuario debe desconectar la función de autocompletar de su navegador siguiendo estas rutas:
- Safari: preferencias - autorrelleno y desactivar todas las opciones.
- Chrome: configuración - configuración avanzada y desactivar «Habilitar la función Autocompletar para rellenar formularios web con un solo clic».
- Opera: herramientas - opciones - historial y poner 0 en la opción «Recordar los sitios visitados en el historial y completar direcciones».
El navegador Firefox no tiene este «bug».
