La función de corrección ortográfica mejorada del navegador web Google Chrome transmite los datos de los formularios, incluida información de identificación personal y, en algunos casos, las contraseñas, a Google.
Chrome incluye un corrector ortográfico básico, que funcionan en el propio navegador. Sin embargo, el corrector ortográfico mejorado de Chrome, tras ser activado por el usuario, presenta un riesgo potencial para la privacidad.
Los datos de los formularios se transmiten a Google si se activa la potente función de corrección ortográfica mejorada.
Dependiendo del sitio web que visite, los datos del formulario pueden incluir datos personales, incluidos, entre otros, los números del documento de identidad, el nombre, la dirección, el correo electrónico, la fecha de nacimiento, la información de contacto, los datos bancarios y de pago, la contraseña, etc.
Josh Summitt, cofundador y director técnico de la empresa de seguridad de JavaScript otto-js, descubrió este problema mientras probaba la detección de comportamientos de scripts de su empresa.
En los casos en los que el corrector ortográfico mejorado de Chrome estaba activado, «básicamente cualquier cosa» introducida en los campos de formulario de estos navegadores se transmitía a Google.
«Además, si haces clic en ‘mostrar contraseña’, el corrector ortográfico mejorado incluso envía tu contraseña», explica otto-js en una entrada de blog.
«Algunos de los sitios web más grandes del mundo están expuestos a enviar a Google y Microsoft información personal sensible de los usuarios, incluyendo el nombre de usuario, el correo electrónico y las contraseñas, cuando los usuarios están iniciando sesión o rellenando formularios. Una preocupación aún más significativa para las empresas es la exposición que esto presenta a las credenciales empresariales de la compañía a los activos internos como las bases de datos y la infraestructura de la nube.»
Para demostrarlo, otto-js compartió el ejemplo de un usuario que introduce sus credenciales en la plataforma Cloud de Alibaba en el navegador web Chrome, aunque se puede utilizar cualquier sitio web para esta demostración.
Con el corrector ortográfico mejorado activado, y suponiendo que el usuario haya pulsado sobre «mostrar contraseña», los campos del formulario, incluidos el nombre de usuario y la contraseña, se transmiten a Google a googleapis.com.
«La función de corrección ortográfica mejorada requiere la aceptación del usuario», afirma un portavoz de Google. Es cierto que el corrector ortográfico básico que está activado en Chrome por defecto no transmite datos a Google.
Para comprobar si el corrector ortográfico mejorado está activado en tu navegador Chrome, copia y pega el siguiente enlace en tu barra de direcciones. A continuación, puedes elegir si quieres activarlo o desactivarlo:
chrome://settings/?search=corrector+ortogr%C3%A1fico+mejorado
Como resulta evidente en la captura de pantalla, la descripción de la función indica explícitamente que, con la corrección ortográfica mejorada activada, «el texto que escribas en el navegador se enviará a Google».
«El texto tecleado por el usuario puede ser información personal sensible y Google no lo asocia a ninguna identidad de usuario y sólo lo procesa en el servidor temporalmente. Para garantizar aún más la privacidad del usuario, trabajaremos para excluir las contraseñas de forma proactiva del corrector ortográfico«, indica Google en un comunicado.
Las empresas pueden mitigar el riesgo de compartir la información personal de sus clientes añadiendo «spellcheck=false» a todos los campos de entrada, aunque esto impediría el funcionamiento del corrector ortográfico en dichos campos. Se podría añadir solamente a aquellos campos con información más sensible.