Hasta hace unos años, era posible que una página web descargase automáticamente un archivo malicioso en nuestro ordenador sin que nosotros le diéramos permiso. Eso cambió cuando Chrome requirió que, para descargar un archivo, sea necesaria interacción por parte del usuario. Presionar la tecla Escape forma parte de esa interacción, pero eso cambia con Google Chrome 76.

El Escape ya no permitirá a una web descargar malware ni mostrarnos pop-ups

En esta próxima versión de Chrome, que actualmente está disponible en el canal Canary, una página web no podrá acceder a determinadas APIs del navegador contando la pulsación de la tecla Escape como interacción del usuario. Entre estas APIs se encuentran aquellas que permiten descargar archivos, mostrar ventanas emergentes, o realizar cambios en la pantalla.

En el caso de las descargas, encontramos uno de los problemas más preocupantes, ya que, hasta hace poco, un adframe podía ejecutar una descarga. Este adframe suele estar en diversas páginas como las de torrent, donde al pinchar en la página, en realidad estamos pinchando en una ventana invisible que nos abre un pop-up o incluso inicia una descarga. También ocurre algo parecido con los vídeos que reproducen sonido.

Así, no todas las interacciones de los usuarios indican que el usuario está de acuerdo con que ocurra determinado comportamiento en una página web. Un click sí que cuenta como interacción, pero por ejemplo pulsar el botón de Escape no, al igual que tampoco es pasar el ratón por encima de un elemento, o pulsar la tecla F12 para abrir las Herramientas de desarrollo.

El cambio empezará a verse en Chrome 76

Actualmente, Chrome considera que pulsar la tecla Escape es una interacción activa por parte del usuario hacia un contenido, por lo que al pulsarla en una web ésta consigue acceso a determinadas APIs. La tecla Escape se suele usar por parte de los usuarios para evitar que una página cargue o para minimizar algún elemento. Estas acciones, sin embargo, no deben contar como interacción con las páginas, por lo que la tecla Escape dejará de permitir ese acceso a las webs.

Para comprobar su vuestro navegador ya ha dejado de contar la tecla Escape como interacción, Google ha creado una página web a modo de demo para ver si funciona o no. Si ponemos el ratón en la ventana de texto y pulsamos escape, no debería abrirse ninguna ventana emergente. Si tenemos Chrome 74, la última estable, al pulsar Escape se nos abrirá la ventana emergente.

El motivo que ha llevado a Google a tomar esta decisión es que han detectado una campaña de malware que está abusando de pop-ups que se generan cuando los usuarios presionan la tecla de Escape.

Por tanto, habrá que esperar un par de meses (hasta julio) para que el navegador estable que usamos a diario cuente con esta función para protegernos en nuestro día a día. Mozilla Firefox ya lleva un tiempo contando con una función similar, que evita que una página realice una actividad al pulsar el usuario la tecla Escape.