Cuidado con las URL acortadas, te pueden espiar

Cuidado con las URL acortadas, te pueden espiar

Algunos servicios se dedican a acortar los enlaces o URL para que, por ejemplo en Twitter, esto no suponga un problema a la hora de encajar el contenido a publicar con la limitación de los 140 caracteres. Es más, la red social de microblogging Twitter es uno de estos servicios, entre muchos otros, que se dedica a acortar las direcciones URL. Y según han explicado dos investigadores, este formato de URLs entraña determinados problemas, como se ha podido analizar en determinados servicios de Microsoft y de Google.

Tanto Google como Microsoft tenían graves agujeros de seguridad con su sistema acortador de URLs

En el caso de la compañía de Redmond, Microsoft, las URLs recortadas se crean con una estructura predecible, un problema que permite a los usuarios analizar cómo se comporta el servicio Bitly de Microsoft para generar de forma manual nuevas URL acortadas y, de esta forma, acceder a contenidos privados. Es decir, de normal genera las URLs siguiendo un patrón realmente sencillo, tanto que cualquier usuario puede, con dos o tres direcciones de ejemplo, determinar este patrón y aplicarlo de forma manual. Y si lo hace, puede predecir cómo se comportará para otro tipo de contenidos alojados en el servicio de almacenamiento en la nube, y por tanto romper su privacidad y visualizarlos sin consentimiento del propietario de dichos ficheros.

Cuidado con las URL acortadas, te pueden espiar

No sólo esto, sino que además en Google Maps se ha podido ver cómo, de una forma muy similar, es posible conocer los lugares a los que los usuarios de dirigen. Reconociendo también el patrón que utiliza Google para recortar sus URLs, de forma sencilla se puede aplicar de forma manual para ver qué usuario, según su nombre e incluso su edad, se dirige a qué lugares utilizando la aplicación de navegación GPS de la compañía de Mountain View. Esto se suma, por otra parte, a que estos sistemas de 'recorte' de las direcciones URL se puede manipular, también para inyectar malware a otros usuarios a través del navegador web.

Respecto a Google Maps y Microsoft OneDrive, ya se han solucionado los problemas que estos dos investigadores han sacado a la luz. Ahora bien, lo importante del 'descubrimiento' no está en los casos aislados y concretos de Microsoft y la firma de Mountain View, sino en definitiva que existen técnicas relativamente sencillas que aprovechan estas funcionalidades en contra de los usuarios que las utilizan. Por tanto, se recomienda sencillamente tener cierto cuidado al abrir una URL de este tipo.

Normas