Los enlaces que acortan direcciones web largas, muy usados en Twitter, Facebook o Messenger, pueden llevar a ataques de «phishing», gusanos, robos de «cookies» y otros problemas de seguridad informática que están aumentando desde mediados del año pasado. Estos enlaces no muestran a dónde dirigen al navegante, por lo que pincharlos es iniciar un viaje […]
Los enlaces que acortan direcciones web largas, muy usados en Twitter, Facebook o Messenger, pueden llevar a ataques de «phishing», gusanos, robos de «cookies» y otros problemas de seguridad informática que están aumentando desde mediados del año pasado. Estos enlaces no muestran a dónde dirigen al navegante, por lo que pincharlos es iniciar un viaje a ciegas, avisan los expertos.
Los enlaces cortos son casi tan viejos como la web, pero viven ahora una explosión gracias al éxito de sitios como Twitter, que permiten mandar mensajes con un número limitado de caracteres, lo que hace necesario acortar las URL. Así, la dirección http://www.elpais.com/suple/ciberpais se convierte, si la «pasamos» por el servicio acortador de enlaces Bit.ly, en http://bit.ly/xvDje. El segundo enlace dirigirá a los navegantes hacia el primero.
El número de estos servicios ha aumentado exponencialmente en el último año. Su denominador común es que no dan ninguna pista de qué dirección web se esconde tras el enlace corto, por lo que la persona que lo pincha no sabe a dónde la redirigen. Esta incertidumbre ha sido considerada por la empresa Cisco como uno de los principales problemas de seguridad que veremos este año.
David Barroso, Director de la Unidad de e-Crimen de S21sec está de acuerdo: «Pinchamos ciegamente en estos enlaces sin saber a dónde vamos realmente, lo que es peligroso por naturaleza. De esta manera se desvanecen todas las buenas prácticas que habíamos adquirido, de tener sentido común y mirar las URL a dónde vamos».
Desde mediados del año pasado abundan los ataques de «phishing», «spam» y virus realizados mediante enlaces cortos, que los criminales envían a través de las redes sociales o el correo. Al ser direcciones enmascaradas, los programas anti-spam y antivirus no las detectan como maliciosas. Los incautos que pinchan en ellas pueden acabar en un falso formulario de su banco, que les pide datos privados.
Servicios como el acortador de enlaces de Google, Goo.gl, se han usado masivamente para mandar «spam». También es posible infectarse con virus, explica Barroso: «Uno de los gusanos más famosos de las redes sociales, KoobFace, utiliza Bit.ly cuando se envía a todos los contactos de su víctima, o publica en su Twitter que tiene un vídeo que puede verse en un enlace corto y que infectará a quien lo visite. Otro gusano, ZeuS, ha usado TinyURL para propagarse».
Los enlaces cortos facilitan también los ataques de Cross Site Scripting, como el que recientemente hizo creer que habían cambiado la foto de José Luis Rodríguez Zapatero por una de Mr. Bean, en la web de la presidencia española de la Unión Europea. Para que este engaño tuviese éxito, las víctimas debían introducir en su navegador una larga dirección URL, creada por los atacantes. Usando enlaces cortos consiguieron esconderla y no despertar sospechas.
El investigador argentino Mario Vilas ha avisado de otras fechorías que podrían realizarse con enlaces cortos, haciendo que estos escondan no una URL sino código, como un Javascript que haga que se abra una ventana inesperada en el navegador o que robe las «cookies» de la víctima. Por suerte, no todos los servicios acortadores lo permiten, aunque sí uno de los más populares: TinyURL.
La defensa ante estos ataques es usar aplicaciones como Echofon o Longurl, que muestran qué enlace se oculta tras el corto, antes de pinchar en él. Algunos servicios, como TinyURL, tienen la opción de previsualizar antes a dónde nos lleva el enlace, poniendo delante la palabra «preview». Por ejemplo: http://preview.tinyurl.com//yhabhth. Otros servicios, como Bit.ly, han llegado a acuerdos con empresas de seguridad que revisan todos sus enlaces.
Otro peligro asociado a los enlaces cortos es que los criminales pueden asaltar el servicio acortador y robar o manipular los enlaces. En junio del año pasado, Cligs URL sufrió un ataque que hizo que sus 2,2 millones de enlaces apuntasen todos al mismo sitio.
Having fun with URL shorteners
http://breakingcode.wordpress.com/2010/01/11/having-fun-with-url-shorteners/
Echofon
http://echofon.com
Longurl
http://longurl.org
URL shortening site bit.ly appoints Websense and Sophos to scan for malicious links
http://www.scmagazineuk.com/url-shortening-site-bitly-appoints-websense-and-sophos-to-scan-for-malicious-links/article/158715/
URL shortening site hacked to redirect millions of links
http://www.scmagazineuk.com/url-shortening-site-hacked-to-redirect-millions-of-links/article/138625/
Copyright 2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
http://ww2.grn.es/merce/2010/cortos.html