lunes, 8 de junio de 2009

URLs cortas y sus problemas de seguridad

Los servicios para acortar las URLs se están volviendo cada vez más populares en las redes sociales, en especial en Twitter. Cuando se debe limitar un mensaje a sólo 140 caracteres, cada carácter adquiere importancia y publicar enlaces a búsquedas en Google o sitios de noticias puede fácilmente llenar un mensaje de Twitter.

Por supuesto, cada problema tiene una solución, así que los servicios para acortar URLs como TinyURL, IS.gd y Bit.ly están ofreciendo acortar las URLs de forma gratuita para que redirijan a las más largas. Todo parece maravilloso hasta el momento en el que comienzo a pensar en seguridad y varios problemas vienen a mi mente.

La ingeniería social se simplifica. El usuario no necesita ver la URL de la página que va a visitar, sólo la versión corta, que por lo general no ofrece pista alguna sobre el destino final del enlace. Un atacante puede decir que está dirigiendo a "fotos adorables de conejitos blancos", pero en su lugar envíar al usuario a un sitio web con contenido nocivo.

La fiabilidad es dudosa. Para llegar al destino final, no solo se necesita encontrar el servidor de destino, sino también que el servicio para acortar URLs funcione correctamente. Los problemas de fiabilidad con TinyURL son lo que hizo que hace poco Twitter cambiara a esta empresa por Bit.ly.

La confianza puede ser un problema. Lo único que quiere el usuario es pulsar en un enlace seguro, y ahora no sólo tiene que confiar en la persona que le envía el enlace, sino también el intermediario: el servicio para acortar URLs.

Cada vez es más común escuchar sobre los problemas de seguridad de estos servicios y me complace ver que los medios de comunicación se están comenzando a dar cuenta de ellos y están tratando de advertir a sus lectores sobre sus peligros: hace poco, AP publicó un artículo (en inglés) sobre los servicios para acortar URLs que también menciona sus problemas de seguridad

Fuente: http://blog.segu-info.com.ar/2009/06/urls-cortas-grandes-problemas.html

No hay comentarios: