Una vulnerabilidad en IE permite vigilar los movimientos del ratón

Microsoft está investigando un fallo en Internet Explorer que podría mostrar los movimientos del ratón a cualquier atacante incluso cuando la ventana del navegador no está en primer plano

Internet Explorer 9

14 diciembre 2012

Microsoft está investigando un fallo en Internet Explorer que podría mostrar los movimientos del ratón a cualquier atacante incluso cuando la ventana del navegador no está en primer plano.

La firma de seguridad Spider.io afirma haber descubierto hace meses un fallo en el navegador de Microsoft que permite controlar las actividades del usuario con el ratón y los teclados virtuales sin su consentimiento. El bug estaría presente en todas las versiones de Internet Explorer desde la 6, lo que significa que el número potencial de usuarios afectados sería realmente elevado en todo el mundo.

Para aprovechar este fallo se utiliza una publicidad insertada en una página web cualquiera. Una vez mostrado el anuncio, queda abierta la posibilidad de que se realice un seguimiento de los movimientos del usuario con el ratón, siempre que la página siga abierta en el equipo del usuario. Esto implica que un hacker podría hacer un seguimiento completo de la actividad del usuario aunque la ventana del navegador no esté en primer plano, o incluso cuando está minimizada.

Este agujero de seguridad está siendo utilizado por compañías de análisis de publicidad web para evaluar la efectividad de los anuncios y ver los movimientos de los usuarios tras ver las publicidades. Sin embargo, y dejando a un lado las implicaciones que esta actividad tiene en la privacidad de los usuarios, lo más peligroso es que puede ser utilizado casi por cualquiera y a través de cualquier página web en la que se puedan insertar anuncios.

El fallo dejaría al descubierto todos los movimientos de los usuarios durante toda su actividad en el ordenador mientras el navegador se esté ejecutando, por ejemplo al acceder a sus cuentas bancarias on-line y utilizar los teclados virtuales en pantalla que muchas entidades utilizan en lugar del teclado físico del equipo para incrementar la seguridad en el acceso al banco.

Aunque Spider.io informó convenientemente a Microsoft de este hecho, la compañía todavía no ha desarrollado ningún parche que resuelva este problema. De hecho, ha publicado un post en el blog oficial de Internet Explorer para admitir que conocen el problema y están investigando la situación. Textualmente afirman que «por lo que sabemos hasta ahora, el problema tiene que ver más con la competencia entre las compañías de analítica que con la privacidad o la seguridad de los consumidores».

Spider.io ha publicado un vídeo en el que se demuestra cómo se puede realizar este seguimiento aunque la ventana del navegador no esté activa:

Actualizaciones de seguridad

Mientras tanto, Microsoft ha lanzado doce actualizaciones de seguridad en siete boletines para resolver algunos fallos conocidos de varios de sus productos. Entre ellas se encuentran vulnerabilidades de Internet Explorer -aunque no la que permite seguir los movimientos del ratón y el teclado-, Windows 8, Windows RT, Word y Exchange.

Las actualizaciones de Internet Explorer y Word resultan ser las más críticas, aunque todas ellas resuelven vulnerabilidades que permitirían a un atacante ejecutar código en el equipo del usuario víctima de forma remota y sin su conocimiento.

Loading...