Es posible que el corrector ortográfico de tu navegador te esté espiando. Este artículo examina qué es el “spell-jacking” y qué puedes hacer para mitigarlo.
Probablemente hayas escuchado a alguien decir algo así como “los correctores ortográficos han matado nuestra capacidad para escribir correctamente” en la última década. Si eso es cierto o no, es un debate para otro día. Pero destaca que los correctores ortográficos y la autocorrección son extremadamente populares, y prácticamente todos los dispositivos con una pantalla y un teclado incluyen uno.
Incluso algunos navegadores web vienen con sus propios componentes de corrección ortográfica. Solo intentan ser útiles, ¿verdad?
¿Qué pasaría si te dijera que estos correctores ortográficos transmiten tus datos de formulario (es decir, cualquier texto ingresado en un formulario web en un sitio web) al proveedor del navegador? Ya no tan útiles…
Eso es el “spell-jacking”: software de corrector ortográfico que transmite información personal a las grandes empresas de tecnología sin tu conocimiento o consentimiento.
Este artículo examina qué es el “spell-jacking”, cómo funciona y cómo mitigar el problema.
¿Qué es el “spell-jacking”?
Es importante tener en cuenta que el “spell-jacking” no es un ataque en línea. Es un error o una falla de diseño, pero uno que puede tener las mismas consecuencias que un ataque.
El problema surge comúnmente de un error en cómo Google Chrome y Microsoft Edge implementaron el “Enhanced Spellcheck” (Corrector ortográfico mejorado) de Chrome y “Microsoft Editor”, respectivamente.
Tanto Google Chrome como Microsoft Edge vienen con correctores ortográficos básicos habilitados. Estos son inofensivos y no transmiten ningún dato. Sin embargo, los usuarios tienen la opción de habilitar el corrector ortográfico mejorado de los proveedores, mencionados anteriormente. Esos son los culpables.
Si has habilitado el “Enhanced Spellcheck” (“Corrector ortográfico mejorado“) en Chrome o “Microsoft Editor” en Edge, estás compartiendo tus datos de formulario con Google o Microsoft. Sucede independientemente del sitio que visites. Mientras haya un formulario, ellos pueden ver tu texto.
La práctica es especialmente preocupante en sitios gubernamentales o bancarios que te solicitan ingresar tu número de Seguro Social (SSN) o tu número de Seguro Social (SIN), tu nombre, dirección, fecha de nacimiento, dirección de correo electrónico, información de contacto, números de cuenta, etc.
Es indiscriminado. Tus datos pertenecen al fabricante de tu navegador tan pronto como se ingresa texto en un formulario web. Esto incluso se aplica a los campos de contraseña. Aunque afortunadamente, hay un obstáculo adicional que superar para que eso suceda.
Muchos campos de contraseña oscurecen tu contraseña ingresada mientras escribes, convirtiendo tu contraseña en ●●●●●●●●. A veces, puedes pensar que escribiste algo incorrectamente, así que haces clic en el botón “mostrar contraseña” para revelar lo que ingresaste. Tan pronto como se hace clic en ese botón, los puntos se convierten en texto, y tu contraseña se envía a Google / Microsoft.
La Función de Corrección Ortográfica Mejorada Expone Información Personal
Josh Summitt, cofundador y CTO de la firma de seguridad en JavaScript otto-js, descubrió el error. Explica en una publicación de blog: “Algunos de los sitios web más grandes del mundo están expuestos a enviar información PII sensible a Google y Microsoft, incluidos el nombre de usuario, correo electrónico y contraseñas, cuando los usuarios inician sesión o completan formularios. Una preocupación aún más significativa para las empresas es la exposición que esto presenta a las credenciales empresariales de la empresa para activos internos como bases de datos e infraestructura en la nube“.
La captura de pantalla a continuación, tomada del blog de ott-js, muestra la contraseña de la página de inicio de sesión de Alibaba siendo transmitida a Google. También muestra que el problema se origina en un error. Podemos ver en la parte inferior derecha (la respuesta del servidor, es decir, Google) que el texto se transmitió para realizar la corrección ortográfica, como lo demuestra la “sugerencia” para la ortografía adecuada en la respuesta. Se hizo clic en el botón “mostrar contraseña” para activar la transmisión de la contraseña.
Para abordar el problema, Google hizo la siguiente declaración:
“La función de corrección ortográfica mejorada requiere una aceptación del usuario. El texto escrito por el usuario puede ser información personal sensible, y Google no lo asocia con ninguna identidad de usuario y solo lo procesa temporalmente en el servidor. Para garantizar aún más la privacidad del usuario, trabajaremos para excluir proactivamente las contraseñas de la corrección ortográfica. Agradecemos la colaboración con la comunidad de seguridad y siempre estamos buscando formas de proteger mejor la privacidad del usuario y la información sensible”.
Google
Se probó el problema utilizando credenciales de inicio de sesión y se encontró presente en los siguientes sitios web importantes:
- CNN: Transmitió nombre de usuario y contraseña cuando se hizo clic en ‘mostrar contraseña’
- Facebook.com: Transmitió nombre de usuario y contraseña cuando se hizo clic en ‘mostrar contraseña’
- SSA.gov (Inicio de sesión de Seguro Social): Solo se transmitió el campo de nombre de usuario
- Bank of America: Solo se transmitió el campo de nombre de usuario
- Verizon: Solo se transmitió el campo de nombre de usuario
Entonces, ¿cómo es que SSA.gov, Bank of America y Verizon solo transmitieron el nombre de usuario aunque se hizo clic en el botón “mostrar contraseña“? Hablemos sobre las mitigaciones y quedará más claro.
Cómo Mitigar el “spell-jacking”
Lado del Servidor ‘spellcheck=false’
Las organizaciones pueden mitigar el riesgo de la información personal de sus usuarios agregando el atributo HTML ‘spellcheck’ y estableciéndolo en falso: ‘spellcheck=false
‘. El atributo se puede establecer en todos los campos de entrada para prevenir completamente el “spell-jacking
“. O simplemente se puede agregar a los campos más sensibles, como el campo de contraseña. Eso es lo que hicieron SSA.gov, Bank of America y Verizon. Y por eso las contraseñas no se transmitieron incluso cuando se hizo clic en el botón “mostrar contraseña
“.
Los administradores de sitios web deberían agregar el atributo ‘spellcheck=false
‘ a todos los campos de entrada de su(s) sitio(s). O, al menos, establecer el atributo en el campo de contraseña. También cabe destacar que si se omite el atributo HTML ‘spellcheck’, los navegadores web generalmente asumirán que está configurado en verdadero por defecto.
Lado del cliente
Como usuario, no necesitas cruzar los dedos y esperar que los sitios web que frecuentas configuren el atributo ‘spellcheck=false
‘. Puedes tomar medidas para desactivar ese comportamiento si lo habías habilitado en el pasado.
Una cosa simple que puedes hacer sin tocar nada es evitar hacer clic en el botón ‘mostrar contraseña’. No evitará el “spell-jacking”, pero al menos evitará que tus contraseñas se transmitan.
A continuación, se detallan los pasos para desactivar el complemento de edición de Microsoft y la corrección ortográfica mejorada de Google.
Microsoft Edge
Primero, si sabes que no has instalado el complemento de edición de Microsoft, no lo hagas. Y ya está.
Si no estás seguro de si lo instalaste o no, aquí te mostramos cómo verificarlo:
En Microsoft Edge, haz clic en Extensiones desde el lado derecho de la barra de direcciones. Esto muestra la lista de extensiones/complementos instalados. Si lo instalaste, aquí te mostramos cómo eliminarlo.
Hay dos métodos:
Método 1:
En Microsoft Edge, haz clic con el botón derecho en el icono de complementos de edición a la derecha de la barra de direcciones. Selecciona Eliminar de Microsoft Edge > Eliminar.
Método 2:
En Microsoft Edge, desde el lado derecho de la barra de direcciones, haz clic en Extensiones y luego en Más acciones junto al complemento de edición. Selecciona Eliminar de Microsoft Edge > Eliminar.
Google Chrome
Para verificar si la corrección ortográfica mejorada está habilitada en Google Chrome:
Copia y pega la siguiente URL en la barra de direcciones de Chrome:
chrome://settings/?search=ortogr%C3%A1fico
Eso mostrará las opciones de corrección ortográfica (imagen) (leyenda). Google informa a los usuarios que la corrección ortográfica mejorada transmitirá todo lo que escriban a los servidores de Google. Si tienes seleccionada la Corrector ortográfica mejorada, cambia a seleccionar Corrector ortográfica básico.
Conclusión
Así que eso es el “spell-jacking“, en pocas palabras. No es un ataque. Es una falla de diseño o un comportamiento no deseado. Pero sigue siendo serio. Muy serio. Las fallas de diseño pueden tener las mismas consecuencias que los ataques en línea. Y también demuestra que en una sociedad impulsada por la tecnología y conectada, no puedes dar por sentada tu seguridad o privacidad en línea.
Como todos somos tecnólogos voluntarios o involuntarios, necesitamos mantenernos al día con lo que está sucediendo en el mundo tecnológico leyendo artículos como este y otros. Podría salvar tus contraseñas de ser transmitidas a las grandes empresas tecnológicas (o pequeñas empresas tecnológicas).
De cualquier manera, mantente seguro.