Como usuarios siempre estamos en busca y captura de formas de ahorrar tiempo y esfuerzo. Es por eso que casi todo el mundo usa la función de autocompletado de los navegadores web, con la que se puede introducir información típica en unos pocos clics. Nadie puede dudar de que se trata de una característica muy útil.

Y sin embargo, según lo publicado en Bleeping Computer las características de autocompeltado pueden usarse para robar datos personales en campañas de phishing. Y basta con utilizar formularios con campos ocultos para extraerla sin que el usuario lo sepa, de forma totalmente opaca y sin que sospeche.

El fallo ha sido descubierto por el especialista en seguridad finlandés Viljami Kuosmanen. En su cuenta de Twitter ha colgado un GIF en el que se puede ver una demostración de cómo funciona este procedimiento:

This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3— Viljami Kuosmanen ⭐ (@anttiviljami) 4 de enero de 2017

En la demo se ve que es posible y muy, muy fácil usar campos ocultos para recolectar toda la información del perfil de autoguardado. Y sólo es una de las muchas cosas que puede hacer un hacker.

Así se extraen datos del autocompletado

Para hacerlo se usa una web creada para la ocasión. Basta con invitar a los usuarios a que rellenen su nombre y su dirección de email. A partir de ahí, el hack se aprovecha de que al introducir la primera letra de su nombre el …