Datos del portapapeles accesibles desde Internet Explorer

SeguridadVirus

Si el usuario cree que los datos que suele copiar al portapapeles son sensibles, puede modificar la configuración del navegador de Microsoft.

Internet Explorer permite capturar los datos del portapapeles desde una página Web. Aunque el uso malicioso de esta característica ya fue denunciado a finales del 2002, aun hoy día la configuración de la mayoría de sistemas con Internet Explorer permiten de forma transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite la captura de datos del portapales se encuentra en la siguiente dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y fue incorporada en la versión 5 de Internet Explorer. Básicamente admite tres métodos para interactuar con los datos del portapapeles, “getData” para capturar la información, “setData” escribe datos, y “clearData” para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también puede ser utilizada de forma maliciosa. De hecho resultaría muy simple diseñar una Web que intentara capturar los datos del portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende exclusivamente del grado de sensibilidad de la información que cada usuario suele copiar en el portapapeles en el día a día. Algunos ejemplos cotidianos son datos de hojas de cálculo, párrafos del procesador de textos, una conversación por mensajería instantánea que queríamos almacenar, o incluso una contraseña que hemos copiado para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles son sensibles, puede modificar la configuración de Internet Explorer para que le avise, o directamente rechace, cualquier intento de captura por parte de una página Web.

En el menú “Herramientas” de Internet Explorer, escoger “Opciones de Internet…”, seleccionar la pestaña “Seguridad”, pinchar en el botón “Nivel personalizado…”, buscamos el apartado “Automatización” y “Permitir operaciones de pegado por medio de una secuencia de comandos”. Ahí seleccionaremos “Pedir datos”, para que Internet Explorer nos avise y nos de la opción de si queremos o no permitir la acción, o “Desactivar” si queremos que siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto sus usuarios no requieren en esta ocasión ninguna configuración adicional para evitar un potencial uso malicioso de esta técnica.