Si utilizas Google Chrome o bien Microsoft Edge como tu navegador web de cabecera, quizás no te convenga ponerte demasiado tiquismiquis con las correcciones de las palabras. Y es que podemos decir que a la revisión ortográfica de ambas herramientas la 'carga el diablo'.
Los investigadores han encontrado que las funciones extendidas de ambos web browser permiten que se transmitan datos de formulario, incluyendo información de identidad personal (PII) y, en algunos casos, incluso contraseñas a las dos compañías tecnológicas, según se hace eco Bleeping Computer.
Josh Summitt, cofundador y director de tecnología de la empresa de seguridad de JavaScript otto-js, descubrió este problema mientras probaba la detección de comportamientos de secuencias de comandos de su empresa.
Dependiendo de la página web que se visite, los datos del formulario pueden incluir cosas como los números de la Seguridad Social o el seguro social, nombre, dirección, email, fechas de nacimiento, información de contacto, información bancaria y de pago, etc.
Solo ocurre en la función mejorada activada a mano
Para tranquilizar a los usuarios hay que recordar que, generalmente, tanto Chrome como Edge se usan por defecto con correctores ortográficos básicos. Pero el problema puede llegar cuando el usuario habilita de manera manual la versión mejorada de esta característica, ya que, como se ha podido comprobar, presenta un riesgo potencial para la privacidad.
En los casos en los que Chrome Enhanced Spellcheck o Edge's Microsoft Editor son habilitados "básicamente cualquier cosa", que se inserta en los campos del formulario acaban en poder de Google o de Microsoft.
Con el corrector ortográfico mejorado habilitado y, suponiendo que el usuario haya tocado la función "Mostrar contraseña" los campos del formulario, incluyendo el nombre de usuario y la clave son transmitidos a Google en googleapis.com.
Aunque la función era conocida no deja de generar cierta inquietud respecto a qué ocurre después de que los datos hayan sido transmitidos y qué seguridad tiene dicha práctica si hablamos de campos de contraseñas.
Las versiones de Google y Microsoft
Desde la firma de Mountain View aseguran que "el texto escrito por el usuario puede ser información personal confidencial y Google no lo adjunta a ninguna identidad de usuario y solo lo procesa en el servidor temporalmente. Para garantizar aún más la privacidad del usuario, trabajaremos para eliminar las contraseñas de manera proactiva del corrector ortográfico", explica Google en un correo enviado a Bleeping Computer.
"Apreciamos la colaboración con la comunidad de seguridad y siempre estamos buscando formas de proteger mejor la privacidad del usuario y la información confidencial".
Por su parte, desde Microsoft solo han señalado que están investigando lo sucedido, pero no han dado más noticias a la web especializada en ciberseguridad.