Un fallo en Internet Explorer permite rastrear los movimientos del ratón

Por: | 12 de diciembre de 2012

IE logo

Si usa Internet Explorer (versiones de la 6 a la 10) ojo a esto: una vulnerabilidad en el navegador permite rastrear los movimientos que hacemos con el ratón en la pantalla. ¿Peligroso? Depende. Si utiliza teclados virtuales para introducir su contraseña de banca online, por ejemplo, sí, es peligroso. Un tercero podría hacerse con los datos de forma remota.

La vulnerabilidad la ha descubierto una pequeña firma británica de analítica web, Spider.io, que demuestra en un vídeo debajo cómo funcionaría. Ofrece además este enlace donde, utilizando IE, podemos comprobarlo por nuestra cuenta.

¿Cómo funciona? Lo único que tiene que hacer un atacante para aprovecharse de esta vulnerabilidad es comprar un anuncio/banner en una web que visitemos. Puede ser YouTube, un diario online, da igual, cualquier página que muestre ese banner. Mientras tengamos esa ventana abierta, incluso si está minimizada, al otro lado pueden ver y almacenar los movimientos del ratón sobre la pantalla.

“Es una trampa muy similar al phishing. Mediante técnicas adicionales como el CSS history hack es posible conocer el historial de navegación del usuario. Si además tienes los movimientos de ratón mientras accede a la cuenta online del banco utilizando el teclado virtual, entonces es relativamente fácil adivinar la contraseña”, confirma telefónicamente Douglas de Jager, responsable de Spider.io. El fallo permite rastrear también cuándo se pulsan las teclas Ctrl, Shift y Alt

 

La compañía contactó con Microsoft en Octubre para alertarle del fallo en el navegador. El Centro de Respuesta de Seguridad de Microsoft ha reconocido la existencia de la vulnerabilidad pero de momento no tiene planes inmediatos de lanzar una actualización. Según Spider.io, dos grandes agencias de publicidad online están ya aprovechando el fallo para saber si los anuncios que insertan son vistos o no por los internautas, aunque de momento, dicen, no pueden desvelar los nombres.

¿Conclusión? Si utiliza IE y accede a su cuenta bancaria online con los teclados virtuales que ofrecen las entidades (precisamente para evitar el rastreo del tecleo mediante malware), quizás mejor pasarse a otro navegador durante un tiempo hasta que la vulnerabilidad se solucione. Y no es que el resto de navegadores no tengan fallos, todos los tienen. Esta vez le ha tocado a IE.

Actualización (14/12/2012): Microsoft ha dado su visión del asunto en uno de sus blogs corporativos. Y la respuesta es un "sí pero no". Reconoce que es posible rastrear los movimientos del ratón en IE y que están trabajando para "ajustar ese comportamiento". Pero va más allá: aclara que es algo que ocurre en otros navegadores, acusa a Spider.io de publicar una información interesada y añade que el rastreo de los movimientos supone "un riesgo muy pequeño". Vamos, que existe. Pues eso.

Hay 8 Comentarios

oye existe algún ser humano que utilice aun internet explorer. por que eso es de otra época.
http://tecno.bligoo.com/seovolucion-el-gran-concurso

Graxx a estos blog nos podemos poner al tanto de lo que esta pasando en el mundo tecnologico que vivimos hoy dia

Uy! que miedoo, rastrean el movimiento del ratón... en fin Mas peligroso es que los Samsung GS III - Android tienen un Exploid que da acceso a toda la memoria del aparato y no se hace tanto bombo. La seguridad 100% en CUALQUIER sistema (Apple, Google o cualquier otro) no existe. Llevo 30 años escuchando estas canciones y nunca se ha caído el mundo ;-)

Uno más de los ciento de los fallos peligrosos de Windows...

IE no debería venir instalado por defecto, al menos que den opción de eliminar dicho navegador.

Saludos!

¿Todavía alguien utiliza explorer? Esto si que es una noticia subvencionada. Como todas las que hablan bien de cualquier producto micro$. A ver si un día nos conseguimos librar del lastre...

Es Internet Explorer! Explorer es otra cosa!

Viendo el enlace de demostración, no ven la pantalla, solo el ratón desplazándose. Pero si pueden saber de otra forma el historial de navegación, entonces solo es cuestión de prueba y error. Saben que visitas el Banco Santander, saben dónde está ubicado el teclado virtual y a probar, aunque cambie. ¿Por qué no hace nada Microsoft?

La pregunta es: pueden rastrear el movimiento del ratón, pero ¿conocen sobre qué se ha hecho click? Los teclados virtuales suelen cambiar de posicion aleatoriamente, para que no estén siempre los botones en la misma posición.


Ahora, si se 've' la pantalla, entonces sí que es peligroso.


Un saludo a todos,
http://www.demipueblo.es

Los comentarios de esta entrada están cerrados.

TrackBack

URL del Trackback para esta entrada:
https://www.typepad.com/services/trackback/6a00d8341bfb1653ef017ee62e095c970d

Listed below are links to weblogs that reference Un fallo en Internet Explorer permite rastrear los movimientos del ratón:

Tecnolomía

Sobre el blog

Actualidad y tendencias sobre tecnología e Internet desde el punto de vista del negocio, quién gana y quién pierde y por qué nos debe importar. Porque la economía, más que nunca, está hecha de bits.

Sobre el autor

Manuel Ángel Méndez

. Periodista y economista, especializado en tecnología y negocios. Colaborador de EL PAÍS desde el 2006. Ex analista de Forrester Research en Londres y premio Accenture de periodismo tecnológico 2009.

Eskup

TWITTER

Manuel Ángel Méndez

Archivo

marzo 2013

Lun. Mar. Mie. Jue. Vie. Sáb. Dom.
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

El País

EDICIONES EL PAIS, S.L. - Miguel Yuste 40 – 28037 – Madrid [España] | Aviso Legal