Frenesí de acortamiento de URL viene con riesgos de seguridad

Las opciones para acortar URL largas a una longitud más manejable proliferan rápidamente con Google y Facebook entrando en el juego de acortar enlaces. Las URL acortadas son más fáciles de enviar por correo electrónico, y son un requisito para la limitación de 140 caracteres de Twitter, pero también introducen riesgos de seguridad.

Completando Necesidades

Algunas URL, particularmente en sitios como Amazon, Youtube y eBay: pueden ser excepcionalmente largos. Probablemente haya enviado o recibido un correo electrónico con un enlace URL muy largo que se ha roto porque se transfirió a la siguiente línea. Luego, debe copiar y pegar manualmente las diversas partes de la URL en la barra de direcciones de su navegador web para llegar al destino. No es muy conveniente, por decir lo menos.

Servicios como TinyURL vinieron para resolver ese problema asignando una URL de alias más corta. Con TinyURL, la URL //www.pcworld.com/businesscenter/article/184608/report_atandt_reputation_tarnished_by_iphone_flaws.html se convierte en //tinyurl.com/yae8pvp. TinyURL reduce la URL de 108 caracteres a unos 26 caracteres mucho menos engorrosos que se ajustan muy bien en correos electrónicos y tweets.

Exploiting Trust

Hay dos problemas principales con los servicios de acortamiento de enlaces. En primer lugar, facilitan a los atacantes la distribución de spam y ataques de phishing porque no se muestra la URL de destino real. En segundo lugar, porque el acortamiento de enlaces se usa con frecuencia con servicios de redes sociales como Facebook y Twitter, existe una confianza inherente de que el enlace será legítimo.

Cuando recibo el enlace anterior en su totalidad, puedo ver fácilmente que el destino real domain es pcworld.com, especialmente si uso el navegador Internet Explorer 8 que destaca el verdadero dominio como defensa contra sitios falsificados y ataques de phishing. Sin embargo, el alias TinyURL no me dice nada sobre el destino y podría llevarme a un sitio web malicioso.

Los atacantes también pueden eludir muchos controles de seguridad mediante el uso de servicios de acortamiento de URL. Los firewalls, los filtros de web y las herramientas de bloqueo de correo no deseado confían en los dominios de acortamiento de URL de forma predeterminada, lo que hace que sea más difícil identificar y descartar enlaces que conducen a destinos maliciosos.

Mirando detrás de la cortina

Necesitas tener una forma de determinar hacia dónde conducirá esa URL acortada antes de hacer clic en ella, no sea que te encuentres víctima de algún tipo de descarga drive-by y tu PC se convierta en parte de una botnet. Afortunadamente, hay herramientas disponibles para ayudar con eso.

Los usuarios de Twitter pueden usar herramientas como Tweetdeck. Tweetdeck tiene una opción en la configuración para Mostrar información de vista previa para URL cortas . Con esta configuración habilitada, al hacer clic en una URL acortada dentro de un tweet, aparecerá una pantalla que muestra el título de la página de destino real, así como la URL completa.

Hay otros complementos del navegador y servicios que realizan una función similar fuera de Twitter. TinyURL ofrece una opción para habilitar las vistas previas. Sin embargo, debe tener habilitadas las cookies para que las vistas previas de TinyURL funcionen. Expanda MyURL y LongURL. Proporcionan también complementos o miniaplicaciones de explorador web que puede usar para descubrir la URL completa detrás del enlace acortado.

Quizás la mejor noticia del reciente frenesí de encabezados de acortamiento de URL sea la adición de Bit. Ly Pro. Con Bit.Ly Pro, las empresas, los blogs y otras entidades pueden suscribirse a dominios abreviados personalizados que les permiten usar URL acortadas mientras mantienen una identidad única y segura.

El acortamiento de URL es un servicio útil y útil que está aquí para permanecer. Solo asegúrate de ejercitar un poco de sentido común y un poco de cauteloso escepticismo para evitar ser explotado por una URL acortada.

Tony Bradley tuitea como @SecurityNews, y puede ser contactado en su página de Facebook.