Google acaba de publicar Alerta de contraseña, una extensión del navegador Chrome de la empresa que ayuda a protegerse de los ataques de phishing dirigidos a las cuentas de Google.
El “phishing”, los ataques dirigidos a robar información, como los datos de acceso o la información de las tarjetas de crédito de los usuarios de Internet, es un gran problema en la Internet.
Empresas como Google han añadido funciones de seguridad a sus servicios para mejorar la protección general de las cuentas y dificultar que los atacantes roben y utilicen la información relacionada con las cuentas.
Sin embargo, esos métodos son opcionales la mayoría de las veces. Puedes habilitar la autenticación en dos pasos, por ejemplo, para tu cuenta de Google, lo que añade otra capa de protección durante el inicio de sesión.
Alerta de contraseña es otro intento de mejorar la protección contra los ataques de phishing. La extensión advierte a los usuarios que la tienen instalada si han introducido datos relacionados con el inicio de sesión en páginas de inicio de sesión de Google falsas.
Esto se hace escaneando las páginas con los formularios de inicio de sesión de Google para averiguar si son legítimas o no. Una forma de averiguarlo es introducir los datos en accounts.google.com o en un sitio de terceros.
Si este último es el caso, se muestra la advertencia.
Si introduces la contraseña y continúas con el inicio de sesión, recibirás una notificación que te informará de que tu contraseña ha sido expuesta en una página de acceso que no es de Google.
Google recomienda restablecer la contraseña en este caso para mantener la cuenta segura. Hay una opción para hacerlo justo cuando se muestra el aviso. También puedes optar por ignorar la advertencia esta vez, lo cual puede ser útil si el servicio es legítimo.
Para empezar, debes acceder a tu cuenta de Google después de instalar la extensión. La alerta de contraseña guarda un hash del archivo que luego compara con las contraseñas que introduces en todos los sitios a los que accedes pero en accounts.google.com.
Esto se hace para averiguar si se introdujo la contraseña de la cuenta de Google. Si ese es el caso, se muestra la advertencia.
Nota: si utilizas la misma contraseña en varias cuentas, recibirás la advertencia aunque accedas con una cuenta que no sea de Google.
La alerta de contraseña funciona para los usuarios particulares y para los usuarios de Google Apps for Work. El administrador de Google Apps debe implementar la alerta de contraseña en todos los dominios mediante las políticas de Chrome antes de que esté disponible.
Para usar la Alerta de Contraseña, la contraseña debe tener una longitud de al menos ocho caracteres.
Google Chrome se envía con una navegación segura que bloquea los sitios de phishing conocidos en el navegador. La alerta de contraseña añade otro nivel de protección a Chrome, ya que le informa de posibles ataques incluso si el sitio de phishing que acaba de visitar no está en la base de datos de la navegación segura. Esto suele ocurrir cuando es demasiado nuevo y aún no ha sido reportado o analizado.
Veredicto
Hay otras formas de asegurarse de que sólo se introducen contraseñas en los sitios correctos. Un administrador de contraseñas, por ejemplo, puede asegurarse de que sólo rellenará formularios de acceso en el sitio correcto.
También puede detectar los ataques de phishing comprobando las urls antes de empezar a introducir datos en los sitios. Aunque puede no ser 100% exacto ya que hay formas de ataque como los sitios pirateados, suele ser un buen indicador.
Si eres usuario de Chrome y utilizas los servicios de Google con regularidad, es posible que la alerta de contraseña te resulte útil como una capa de protección adicional. (via Caschy)
Actualización : A los investigadores de seguridad les llevó menos de un día encontrar un método para evitar la protección que proporciona la Alerta de Contraseña.