Un nuevo estudio sobre el peligro de los enlaces acortados revela que aprovecharse de ellos puede ser muy fácil para un atacante.
Los servicios acortadores de URL tuvieron un “boom” cuando nacieron servicios como Twitter que imponían un límite a la cantidad de caracteres que podíamos publicar.
Su funcionamiento es muy sencillo, simplemente cuando pulsamos en un enlace acortado el servidor de la compañía redirige el navegador a la dirección completa. Por ejemplo, “http://bit.ly/263v5ok” es mucho más corta que “http://www.omicrono.com/2016/04/ordenador-linux-de-bolsillo/” y por lo tanto se puede recordar y compartir más fácilmente.
El peligro de los enlaces acortados es mayor de lo que parecía
Claro, que no todo es tan bonito. Irónicamente, que la dirección sea tan corta es justamente lo que las hace más peligrosas para nuestra privacidad, como han descubierto por las malas dos investigadores de la Universidad de Princeton en un reciente estudio.
En el enlace “http://bit.ly/263v5ok”, la parte “263v5ok” normalmente se genera de manera aleatoria y no tiene ninguna relación con el contenido. Evidentemente, cuantos menos caracteres, más espacio tendremos para escribir el mensaje que queremos.
Los investigadores se dieron cuenta de que si esa cadena es demasiado corta, de cinco, seis o siete caracteres, es perfectamente posible probar todas y cada una de las combinaciones posibles con un poco de tiempo y el hardware adecuado.
Para probarlo, desarrollaron un método que automáticamente obtenía una nueva dirección y comprobaba si había algo en ella, una y otra vez; si tienes un ordenador o red de ordenadores potente y una buena conexión a tu disposición (preferiblemente varias alrededor del mundo), entonces en poco tiempo podrás encontrar enlaces a todo tipo de archivos y webs.
Compartir enlaces por Google Maps puede servir para encontrarnos
Cuando probaron este método con las direcciones de Google Maps acortadas por goo.gl, descubrieron que muchas de ellas contenían datos identificativos que podían servir para encontrar datos personales de los usuarios del servicio, como la dirección de su vivienda.
En un caso, pudieron encontrar el nombre y la edad de una mujer que había usado el acortador para enviar su dirección a un centro de paternidad en EEUU; el mismo análisis podría servir para investigar a una persona y averiguar si ha estado en sitios comprometidos como clubs de striptease, prisiones o centros de salud mental, según los investigadores.
Los investigadores contactaron con Google en septiembre de 2015 para informarles de este problema, y desde entonces Google ha aumentado el número de caracteres que usan sus direcciones acortadas y ha introducido medidas para evitar el escaneo masivo de direcciones.
Documentos privados buscando en enlaces de OneDrive
El problema que encontraron al probar el método con el acortador de OneDrive es incluso peor. OneDrive usa el acortador 1drv.ms, pero es gestionado por Bit.ly, y usa el mismo sistema de caracteres aleatorios.
Así que los investigadores examinaron cien millones de direcciones acortadas de Bit.ly, creadas con seis caracteres aleatorios, y se encontraron con que el 42% les llevaron a direcciones usadas. De todas ellas, 19.524 direcciones acortadas llevaban a archivos y carpetas compartidas por OneDrive, la mayoría de ellas perfectamente accesibles.
No sólo eso, sino que como la estructura de las direcciones internas de OneDrive es predecible, los investigadores pudieron usar esta cuenta que sabían que estaba en uso, y acceder a otras carpetas y archivos, más de 200.000.
Cuando hicieron la misma prueba con direcciones Bit.ly de siete caracteres aleatorios, encontraron más de un millón de documentos en Onedrive; aunque aseguran que no descargaron ninguno, sólo por los metadatos se dieron cuenta de que muchos contenían información privada. Incluso el 7% de las carpetas descubiertas de esta manera permitían la escritura.
Los investigadores también contactaron con Microsoft, y en su caso recibieron la respuesta de que el sistema acortador funcionaba como estaba diseñado. Pese a esta postura oficial, el pasado marzo Microsoft eliminó la posibilidad de compartir enlaces acortados desde OneDrive, aunque los enlaces ya existentes siguen suponiendo un peligro para sus usuarios.
La entrada Los enlaces acortados pueden servir para leer tus documentos y saber dónde has estado aparece primero en Omicrono.