Muchas veces utilizamos servicios automáticos en nuestros navegadores, desde un gestor de contraseñas, a un sistema de búsqueda predictiva o un traductor. Y muchos de esos servicios van capturando el texto mientras vamos escribiendo, por lo que es importante tener muy claro a qué nos estamos conectando, no vaya a ser que estemos compartiendo con un tercero cierta información que no deseemos. La pregunta que realmente nos tenemos que hacer en este caso es: cuando necesitamos utilizar una funcionalidad: ¿dónde se ejecuta esta? Y como siempre hay sus pros y sus contras: puedes «cargar más el procesamiento de tu equipo local» al usar tu propio sistema, o puedes seguir la tendencia de «pasar ese procesamiento a la Nube», por lo que ahorras ese esfuerzo en tu equipo delegándolo a otro equipo en algún lugar de Internet.
Esta semana está haciendo ruido el nada sorprendente y bastante sensacionalista caso del corrector de ortografía avanzado de Google Chrome, que además varios derivados suyos, tales como la versión de Microsoft Edge basada en Chromium, también reproducen. Es normal que se envíe el contenido de todas las cajas de texto que el usuario va rellenando para asegurarse de que no cometa faltas de ortografía al teclear, lo que es lógico y natural. Como los campos «usuario» y «contraseña» también son cajas de texto, el contenido de estas se envía para ser revisado, por lo que no deberíais escandalizaros: esto ha sido así toda la vida. Lo que deberíais plantearos es: ¿por qué estoy ejecutando esa funcionalidad en esa pantalla de contraseñas? ¿Es necesario que revise esos campos?
¿Dónde se desconecta esa funcionalidad?
Si vamos a la configuración de Google Chrome y buscamos la palabra «ortográfica», podemos ver que se indica claramente la descripción del corrector ortográfico mejorado: «Usa el mismo corrector ortográfico que la búsqueda de Google. El texto que escribas en el navegador se enviará a Google«. Así que he revisado que está en revisión básica, es decir: local. Tampoco me preocupa demasiado porque en lo que respecta a navegadores, yo soy de Firefox y Librewolf 😛
¿Qué puedes hacer al respecto?
- Como usuario, recuerda que lo que rellenes en una caja de texto siempre es susceptible de ser enviado a un tercero: intenta conocer qué sistemas envían datos fuera de tu equipo, y si van a estar conectados todo el tiempo, utiliza en la medida de lo posible programas que se ejecuten en tu equipo local. Por ejemplo, «Firefox translations» traduce sin utilizar la Nube o Keepass hace a fin de cuentas lo mismo que Lastpass, pero en local. Y ante todo no confíes ciegamente en las actualizaciones de un tercero y revisa los cambios, por aburrido que sea.
- Como desarrollador, si un campo es sensible, puedes añadir al campo el atributo adecuado para que no se lo lleve un traductor automático, pero en cierto modo es un brindis al sol: no puedes estar pendiente de todos y cada uno de los miles de servicios que existen en Internet y cómo anularlos por atributo. Por curiosidad, en este caso concreto, el atributo hoy es «spellcheck».
spellcheck=false
Es importante que recordemos que no podéis dejar esto en manos de desarrolladores ajenos a esta cuestión, porque va a ser un juego del gato y el ratón. La seguridad de este tipo de datos está principalmente en vuestras manos como usuarios: el traductor o la revisión ortográfica pueden ser muy útiles en un momento concreto y no tienen nada de malo, pero no son para tenerlos encendidos innecesariamente todo el tiempo, precisamente porque lo traducen todo. Lo mismo se puede decir del autocompletado, o de la captura de contraseñas para su guardado: nadie niega su utilidad, perohay que usarlos con sabiduría.
Angeles' blog 