enlaces acortados panda security

Las redes sociales abrieron la brecha. Cuando todavía era un problema restar los caracteres de un enlace al límite de 140 letras que establece Twitter, los usuarios del servicio de ‘microblogging’ comenzaron a emplear un nuevo y eficaz sistema: los acortadores de URL. Herramientas como bit.ly se popularizaron rápido y trajeron consigo algunos riesgos en materia de seguridad.

En primer lugar, y como ya es sabido, confiar a ciegas en los enlaces acortados puede ser peligroso. No sabemos realmente qué hay detrás salvo que utilicemos un servicio capaz de devolver la URL a su estado original antes de que hagamos clic. Extensiones para el navegador como Unshorten.it (Mozilla Firefox) o LongURL (Google Chrome) ayudan a solventar este problema.

 

Confiar a ciegas en los enlaces acortados puede ser peligroso

 

Sin embargo, un reciente estudio publicado por un grupo de investigadores de la escuela de tecnología Cornell, en Nueva York, ha demostrado que el peligro no se acaba ahí: los enlaces acortados también son una amenaza para la privacidad de tus archivos en la nube. Concretamente, los autores han logrado acceder a miles de ficheros de One Drive, Google Drive y Google Maps a partir de sus enlaces acortados.

El problema es que las URL reducidas que ofrecen estos servicios son, además de cortas, muy predecibles. Como todas siguen la misma estructura, resulta sencillo recorrer cientos o miles de posibles variantes en cuestión de segundos, comprobando si dirigen a un archivo en la nube, de manera automática.

 

Si tus enlaces caen en malas manos

“Accediendo desde la URL a un documento compartido, se puede construir la dirección raíz y automáticamente entrar a la cuenta, descubriendo todos los archivos y carpetas compartidos”, se explica en el estudio. Siguiendo este procedimiento, los investigadores han logrado acceder a casi un millón y medio de archivos, “incluyendo cientos de miles de PDFs y documentos de Word, hojas de cálculo, multimedia y ejecutables”.

Una vez descubiertos los enlaces adecuados, un atacante podría no solo acceder a información más o menos sensible como la que pueden contener estos ficheros, sino que además podría aprovechar las propias ventajas del alojamiento en la nube para infectar móviles y ordenadores. “Como en One Drive, cualquiera que descubre la URL de una carpeta de Google Drive editable puede subir cualquier contenido que se sincronizará automáticamente con los dispositivos del usuario”. Una forma preocupantemente rápida y efectiva de distribuir un ‘malware’.