En el verano de 2013, Google fue criticado por almacenar información de acceso de los usuarios (nombre de usuario y contraseña) en texto plano en el navegador web sin ningún tipo de protección. Para algunos, este era un riesgo de seguridad crítico que podría haberse evitado fácilmente, por ejemplo, implementando una contraseña maestra que protegiera los datos.
Otros – y Google – señalaron que se requería acceso local para acceder a los datos, y si se concedía el acceso local, la computadora se comprometía de todos modos abriendo también otros vectores de ataque.
Hace unos días, la empresa de investigación de seguridad Identity Finder, descubrió otro problema relacionado con Google Chrome. Según los hallazgos de la empresa, Chrome almacena información confidencial, introducida en sitios web y servicios https, en texto plano en la caché del navegador.
Nota : Aunque muchos creen que los navegadores no almacenan en caché las páginas y los datos https debido a la naturaleza segura de la conexión, hay que tener en cuenta que los contenidos https pueden ser almacenados en caché. Esto depende únicamente de los encabezados de respuesta de un sitio o servidor (que se transfieren al navegador web). Si los encabezados de respuesta permiten el almacenamiento en caché de contenidos HTTPS, los navegadores web lo harán.
Índice de contenido
Cromo y datos sensibles
Identity Finder descubrió que Chrome estaba almacenando una serie de información sensible en su caché, incluyendo números de cuentas bancarias, números de tarjetas de crédito, números de seguridad social, números de teléfono, direcciones postales, correos electrónicos y más.
La empresa confirmó que esta información se introducía en sitios web seguros y que podía extraerse fácilmente de la memoria caché con programas de búsqueda que escanean cualquier tipo de archivo en busca de datos en texto plano.
Los datos no están protegidos en el caché, lo que significa que cualquiera que tenga acceso a ellos puede extraer la información. Esto no significa necesariamente un acceso local, ya que el software malicioso que se ejecuta en la computadora de un usuario, e incluso la ingeniería social, puede dar los mismos resultados.
Entregar la computadora a un taller de reparación de computadoras, enviarla al fabricante o venderla en eBay o Craigslist puede proporcionar a terceros el acceso a la información sensible almacenada por el navegador.
Protección
Google Chrome: borrar los datos de navegación
¿Cómo puede proteger sus datos contra esto? Google quiere que uses una encriptación completa del disco en tu computadora. Aunque eso se encarga del problema de acceso local, no hará nada contra los ataques de malware o de ingeniería social.
Es como decir que los operadores de sitios web pueden guardar las contraseñas en texto plano en la base de datos, ya que la batalla se pierde de todos modos si alguien obtiene acceso al servidor de forma local o remota.
En lo que respecta a Chrome, la única opción que tienes es borrar la memoria caché, rellenar automáticamente los datos de los formularios y el historial de navegación de forma regular y preferiblemente justo después de haber introducido información sensible en el navegador.
No se puede automatizar el proceso usando sólo Chrome, sino que se necesita una herramienta o extensión de terceros para borrar los datos cuando se cierra el navegador automáticamente.
Identity Finder sólo analizó la caché de Google Chrome y si no está utilizando el navegador, probablemente se pregunte si su navegador también almacena información sensible en texto plano.
Firefox, todopoderoso a la hora de personalizar el navegador, te permite desactivar el almacenamiento en caché de SSL en la configuración avanzada.
- Escriba about:config en la barra de direcciones y pulse intro.
- Confirme que tendrá cuidado si es su primera visita a la página.
- Buscar browser.cache.disk_cache_ssl
- Establezca la preferencia a false con un doble clic en su nombre para desactivar el almacenamiento en caché de SSL.
- Repita el proceso si quiere volver a activarlo.
Firefox usará la memoria del ordenador para almacenar archivos en caché, lo que significa que la información se borra automáticamente cuando Firefox se cierra, y nunca se graba en el disco.
Si tampoco quieres eso, configura browser.cache.memory.enable a false también.