Los anunciantes han encontrado una nueva forma de rastrearte. De acuerdo a Libertad para jugar , algunas redes publicitarias ahora están abusando de los scripts de seguimiento para capturar las direcciones de correo electrónico que su administrador de contraseñas llena automáticamente en los sitios web.
Pero se pone peor: también podrían usar esa tecnología para capturar sus contraseñas, si quisieran. Esto afecta a todos los que usan un administrador de contraseñas, ya sea un administrador de contraseñas integrado como el de Chrome, Firefox o Edge, o una extensión del navegador como Ultimo pase . Como resultado, probablemente debería deshabilitar la función de autocompletar para evitar que esto suceda.
Cómo Autocompletar está filtrando su información
Cuando guarda su nombre de usuario y contraseña en un sitio web, su administrador de contraseñas los recuerda. A partir de ese momento, intentará completarlos automáticamente en los cuadros de nombre de usuario y contraseña que ve en ese sitio web. Esto hace que el inicio de sesión sea más rápido, ya que solo tiene que hacer clic en "Iniciar sesión".
Pero algunos scripts publicitarios de terceros, los que utilizan casi todos los sitios web, están comenzando a usarlos para rastrearlo. Se ejecutan en segundo plano, crean cuadros de inicio de sesión y contraseñas falsos que ni siquiera puede ver y capturan las credenciales que su administrador de contraseñas ingresa en ellos.
Puede ver este problema por sí mismo visitando esta página de demostración . Ingresa una dirección de correo electrónico y una contraseña falsas y se te pedirá que las guardes en el administrador de contraseñas de tu navegador. Continúe y se completará automáticamente en segundo plano, con el script capturando la dirección de correo electrónico y la contraseña.
Este sitio de demostración actualmente no muestra ningún problema si usa LastPass, pero cualquier cosa que complete automáticamente los nombres de usuario y las contraseñas sin la intervención del usuario, incluido LastPass, es teóricamente vulnerable.
Necesita contraseñas únicas en todas partes, por lo que los administradores de contraseñas siguen siendo esenciales
RELACIONADO: Por qué debería utilizar un administrador de contraseñas y cómo empezar
Este problema demuestra la importancia de utilizar contraseñas únicas en cada sitio web. No es solo un ataque teórico; en realidad, los anunciantes lo están utilizando en 1110 de los principales millones de sitios web actuales, según Freedom to Tinker. Actualmente, los anunciantes solo utilizan esta técnica para capturar nombres de usuario y direcciones de correo electrónico, pero no hay nada que les impida capturar contraseñas también, si uno se encontraba de un humor particularmente perverso algún día.
Si un anunciante capturó su contraseña en un sitio web, lo peor que podría hacer alguien con esos datos es iniciar sesión en ese sitio web. Eso no es lo ideal, pero no es lo peor que podría pasar. Si usa la misma contraseña para ese sitio web que para su cuenta de correo electrónico, esa persona podría acceder a su cuenta de correo electrónico y usarla para obtener acceso a sus otras cuentas. Eso es lo peor que podría pasar.
Esta es la razón por todavía recomendamos usar un administrador de contraseñas , no importa qué. Con todas las diferentes cuentas que tiene una persona promedio en línea y la frecuencia de los ataques contra estos sitios web, es imperativo que use una contraseña única para cada sitio que visite. La mejor manera de hacerlo es con un administrador de contraseñas: no tires al bebé con el agua de la bañera.
Protéjase desactivando la función Autocompletar
Sin embargo, aún puede mitigar parte de su riesgo de estos scripts deshabilitando el autocompletar en su administrador de contraseñas. Por ejemplo, si usa LastPass (que actualmente no se ve afectado por estos scripts, pero teóricamente podría estarlo), la función de autocompletar llena los campos de inicio de sesión con sus credenciales para que pueda hacer clic en "Iniciar sesión". Si deshabilita la función de autocompletar, tendrá que hacer clic en el icono de LastPass en un campo de contraseña y hacer clic en su nombre de usuario para completar su información guardada. Solo hará esto cuando intente iniciar sesión, por lo que esto debería proteger sus credenciales para que no sean recogidas. Ya no los está esparciendo por todas las páginas.
También puede copiar y pegar nombres de usuario y contraseñas del administrador de contraseñas de su elección, y eso lo haría aún más seguro, pero significativamente menos conveniente. Creemos que elegir iniciar el autocompletado manualmente solo en las páginas de inicio de sesión debería ser un buen término medio entre la seguridad y la conveniencia. Si esas páginas de inicio de sesión se vieron comprometidas con dicho script, nada podría ayudarlo, de todos modos, el script podría leer sus datos de inicio de sesión incluso si los copia y pega o los escribe manualmente.
Lamentablemente, la mayoría de los administradores de contraseñas de los navegadores no te permiten inhabilitar el autocompletar. No hay forma de deshabilitar la función de autocompletar si está usando el administrador de contraseñas integrado en Google Chrome o Microsoft Edge, por ejemplo. Chrome tiene una opción para deshabilitar el llenado automático, pero solo deshabilita el llenado automático de datos como direcciones y números de teléfono, no contraseñas. Hay una opción para deshabilitar el autocompletado de contraseñas en el administrador de contraseñas de Mozilla Firefox, pero está oculta en acerca de: config .
Si está utilizando el administrador de contraseñas integrado en Chrome o Edge, le recomendamos que cambie a un administrador de contraseñas de terceros que ofrezca más control, como Ultimo pase o 1 contraseña . 1Password no se ve afectado por este problema porque no incluye una función de autocompletado automático.
En LastPass, puede desactivar la función de autocompletar haciendo clic en el botón de la extensión LastPass en la barra de herramientas de su navegador y haciendo clic en "Preferencias". Desmarque la opción "Completar automáticamente la información de inicio de sesión" en General y luego haga clic en "Guardar" para guardar los cambios.
Si quieres seguir usando el administrador de contraseñas de Firefox, debes escribir "about: config" en la barra de direcciones de Firefox y presionar Enter. Verá una pantalla de advertencia que le informa que cambiar varias configuraciones aquí podría causar problemas. No se preocupe, si simplemente cambia la configuración única que señalamos, estará bien. Haga clic en "¡Acepto el riesgo!" continuar.
Escriba "autofillForms" en el cuadro de búsqueda y haga doble clic en la preferencia "signon.autofillForms" para establecerla en "falso". Firefox ya no completará automáticamente los nombres de usuario y las contraseñas sin su permiso.
Si está usando otro administrador de contraseñas, debe abrir sus preferencias y deshabilitar la opción "autocompletar" o "completar automáticamente" para asegurarse de que su administrador de contraseñas no filtre su información personal.
Los desarrolladores de navegadores y administradores de contraseñas deben reconsiderar los administradores de contraseñas para hacerlos más seguros. No deberían intentar completar automáticamente sus datos de inicio de sesión en cada página web que visite en un sitio web en particular. Eso es solo buscar problemas. Pero, por ahora, puede desactivar la función de autocompletar para estar más seguro.
Credito de imagen: Vlad es /Shutterstock.com.
