Cuidado: pueden haber robado tu contraseña con una conocida función de tu navegador

La gente que se dedica a comprar y vender personas en calidad de información encontró una nueva forma de perseguirnos (trackearnos). De acuerdo a la web especializada en el tema Freedom to Tinker un compendio de redes publicitarias están abusando de sus scripts para capturar las direcciones de email que están guardadas en las funciones de autocompletado de tu manejador de passwords. Aquí en Tribuna Hacker informamos sobre esta situación hace más de un año, la novedad no es que puedan hacerlo, sino que lo están haciendo las redes publicitarias… algo análogo a una red de trata de personas, sólo que a nivel digital, por que lo que venden no es tu información sino tu identidad, salvo tu nombre y tu cuerpo, la clave es vender todo lo que hace que vos seas vos y dejarte viva para seguir obteniendo dinero vendiéndote.

Pero esto puede ponerse incluso peor: según opinan en Freedom Tinker, podrían estar usando este tipo de scripts para capturar nuestras contraseñas, sólo deberían querer hacerlo. Esto afecta a todas las usuarias que usen un manejador de passwords, sin importar si es uno integrado en tu navegador (como los que tienen Chrome, Firefox o Edge) o extensiones como LastPass. Tal vez esté siendo tiempo de desactivar esta característica y prevenir que te suceda.

Cómo usan el autocompletado para robar tu información

Cuando guardás un nombre de usuaria y contraseña, el administrador de passwords lo recuerda. Desde ese punto en adelante, va a intentar autocompletar todas los campos de formularios que estén disponibles en ese sitio web. Esto hace que te loguées más rápido (porque no tenés que poner tu contraseña, sólo darle click a login).

Pero algunos script publicitarios -como los que usa casi cualquier web- están utilizando estas características para perseguirte. Funcionan en segundo plano, crean un falso campo de usuaria y contraseña, uno que no podés ver, y que termina capturando tus credenciales cuando el administrador de passwords lo encuentra.

Podés chequearlo en esta página. Poné una usuaria y contraseña falsa, luego decile a tu navegador que lo guarde. Luego se autocompletará sin que lo notes (porque los campos están ocultos para vos pero no para el administrador de contraseñas) y el script terminará por capturar ambas informaciones.

¿La solución? Passwords únicos para cada web

Este problema demuestra la importancia de usar un password para cada servicio. No se trata de un problema exclusivamente teórico -esta técnica es utilizada por los 1110 sitios webs más utilizados del mundo- según opina la gente de Freedom Tinker. La gente de la trata digital de persona (que se presenta como vendedora de publicidad), utiliza esta técnica para capturar usuarias y emails (con el objetivo de enviarte más spam a tus cuentas, a todas) pero nada les impide tomar además tu contraseña, algo que resulta nefasto, porque relega nuestro derecho a la intimidad a un compromiso ético que esta gente no asume, ellas roban nuestras credenciales sin nuestro permiso ¿por qué deberíamos creerles si afirman no robar nuestras contraseñas?

Si una red publicitaria capturó tu contraseña en algún sitio web, lo peor que podría hacer es loguearse en ese servicio, aunque eso no es lo peor que podría pasar: si usás la misma contraseña en más de un servicio, pueden loguearse en TODOS esos servicios. Si, por ejemplo, ese servicio es tu cuenta de Gmail y usás Android, o tu cuenta de iCloud porque usás algo de Mac… entonces tienen acceso a TODA tu vida.

Existen muchas técnicas para lograr contraseñas seguras, una que me gusta mucho es elegir una estrofa de una canción (no un verso, sino una estrofa) y recordar una canción por cada servicio, algo que realmente no es difícil porque podés asociar perfectamente una canción a un servicio, la frase seguramente la sepas y si no, te resultará muy fácil de aprender.

Además de esto, deberías desactivar las funciones de autocompletado.

En fin, con esto de que sea legal vender personas, es difícil imaginarse lo peor, no deberíamos llegar a que nos suceda para sacar a estas tratantes de nuestra sangre.

¡Happy Hacking!

-Share this page-
submit to reddit Hire a Professional Programmer

Periodista, ex directora de algunos medios, ex docente, ex trabajadora, ex uberante. Productora musical, militante social, murguera, programadora, diseñadora. Hacker. @PabloLozano13

compartí, discutí, comentá

Deja un comentario

Loading Facebook Comments ...