Google Chrome y Microsoft Edge ofrecen una función de revisión ortográfica mejorada que detecta y corrige automáticamente las palabras mal escritas. Si bien la función puede parecer útil y conveniente, una investigación reciente demuestra que puede presentar serios riesgos para la privacidad.
Cuando se habilita manualmente, tanto el corrector ortográfico mejorado de Chrome como el editor de Microsoft envían los datos de su formulario a sus empresas matrices, esencialmente deletreando los datos.
¿Qué es el Spell-Jacking?
Spell-jacking se refiere a la exposición de información de identificación personal (PII) a través de Función de revisión ortográfica mejorada en Chrome y Editor de Microsoft.
Investigación de la empresa de seguridad JavaScript otto-js descubrió que todos los datos ingresados en cualquier campo de formulario se transmitían a los servidores de terceros de Google y Microsoft cuando se habilitaba la función de revisión ortográfica mejorada.
Dependiendo de los sitios web que visite, la información filtrada podría incluir nombre de usuario, contraseña, dirección, fecha de nacimiento, número de seguro social (SSN), información bancaria y de pago, y más.
Si bien ambas funciones están desactivadas de forma predeterminada, es preocupante lo fácil que es habilitarlas y la mayoría de los usuarios las habilitan sin darse cuenta de lo que sucede en segundo plano.
¿Quién está en riesgo?
otto-js identificó los cinco principales servicios en línea que están en riesgo por esta falla de seguridad. Incluyen el servicio en la nube de Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager y LastPass. Según los informes, tanto AWS como LastPass han mitigado el problema, mientras que Google lo ha solucionado para algunos de sus servicios.
Sin embargo, no son solo los usuarios empresariales los que están en riesgo. otto-js probó más de 50 sitios web que las personas usan con frecuencia y que tienen acceso a información confidencial. Dividió 30 de esos sitios web en seis categorías y seleccionó los cinco sitios web principales por categoría para crear un punto de referencia de la frecuencia y la intensidad de la exposición. Las seis categorías incluyen:
- Banca en línea
- Cuidado de la salud
- Herramientas de oficina en la nube
- Gobierno
- Medios de comunicación social
- comercio electrónico
En el grupo de control de 30 sitios web probados, otto-js descubrió que alrededor del 97 por ciento enviaba datos confidenciales de los usuarios a Google y Microsoft cuando se habilitaban las funciones de revisión ortográfica.
Además, más del 73 por ciento de los sitios web enviaron contraseñas a las empresas cuando los usuarios hicieron clic en "mostrar contraseña".
Esto presenta una preocupación de seguridad significativa para las credenciales empresariales y la seguridad del lado del cliente.
Cómo mitigar el Spell-Jacking
La mejor manera de proteger sus credenciales de inicio de sesión es utilizando un administrador de contraseñas seguras, un buen programa antivirusy cifrar su tráfico con un vpn. Sin embargo, las prácticas normales de ciberseguridad no son suficientes en este caso.
Una forma de minimizar la exposición para las empresas es incluir "corrector ortográfico = falso" en los campos de entrada que requieren información personal. Esto bloqueará efectivamente esos campos de las herramientas de revisión ortográfica, lo que significa que la revisión ortográfica estará deshabilitada para esas entradas.
Otra forma en que las empresas pueden mitigar el impacto del hechizo es deshabilitando la función "mostrar contraseña" para los usuarios. Esto no detendrá el secuestro de hechizos, pero evitará que se envíen las contraseñas de los usuarios.
Las empresas también pueden implementar soluciones de seguridad de punto final que pueden desactivar las funciones de revisión ortográfica y evitar que sus empleados instalen extensiones de navegador comprometidas.
Para usuarios individuales, así es como puede desactivar la función de revisión ortográfica mejorada en los navegadores Chrome y Edge:
Google Chrome
La forma más fácil de proteger sus datos personales para que no se envíen a Google es eliminar la función de revisión ortográfica mejorada por el momento. Puede deshabilitar la función en la configuración de Chrome siguiendo estos pasos:
- Haga clic en el tres puntos en la esquina superior derecha de su navegador y seleccione Ajustes.
- Desplácese hacia abajo y haga clic Avanzado para ver configuraciones adicionales.
- Seleccionar Idiomas de las opciones que aparecen a la izquierda de la pantalla.
- Bajo la Corrector ortográfico sección, desmarque la Corrector ortográfico mejorado opción.
También puede acceder a la página simplemente pegando el siguiente enlace en la barra de direcciones de su navegador y presionando Enter:
cromo://settings/?search=Enhanced+Spell+CheckBorde de Microsoft
Para los usuarios de Microsoft Edge, el corrector ortográfico viene como un complemento del navegador. A elimina la extensión de tu navegador, haga clic con el botón derecho en el icono de la extensión y elija "Eliminar de Microsoft Edge".
Si no puede encontrar el ícono en la página de inicio de su navegador, puede ir a la biblioteca de extensiones y eliminarlo de allí. Simplemente haga clic en "Extensiones" a la derecha de la barra de direcciones del navegador para encontrar extensiones. Seleccione "Más acciones" junto a la extensión que desea eliminar y haga clic en "Eliminar de Microsoft Edge".
Y así es como mantiene sus datos personales seguros por el momento.