Inicio

Los acortadores de URL y sus problemas

Dom, 05 de Septiembre del 2010 by shadowjah   Tags:

URL Shorteners
URL Shorteners

Los acortadores de URL (shorters) son herramientas que sirven, como su nombre lo indica, para acortar una URL y nacieron con el objetivo de hacer más manejables URL que contenían una extensión fuera de lo normal (30 o más caracteres).

Con el tiempo su popularización y masificación llegó de la mano de Bloguers y particularmente de Twitter en donde tener URL excesivamente cortas en una prioridad para poder expresar un mensaje adecuando en los 140 caracteres que impone como límite la plataforma.

Así una URL de 100 caracteres de largo se transforma en una del tipo: www.servicio/XYZ donde "XYZ" es un código generado en ese momento.

Quizás uno de los primeros ampliamente conocidos haya sido TinyURL, creado en 2002, pero luego este se vió desplazado por Bit.ly por ser el utilizado por defecto en Twitter. Si se desea conocer otros, Marlex Systems ha hecho una recopilación de 200 de ellos.

A partir de esta masificación, los problemas comenzaron a hacerse notables y actualmente muchos de ellos, sobre todo los más populares están siendo utilizados con fines dañinos o delictivos para engañar a los usuarios ya que, en principio, no hay forma de que Ud., como lector pueda determinar a donde lo dirige una URL como la siguiente, ya que la misma queda completamente oculta.

En este punto, cabe mencionar que existen herramientas para visualizar la URL de destino, pero no son ampliamente difundidas ni utilizadas.

Luego de lo expresado, queda claro que los acortadores pueden y son utilizados para casos de phishing y spam debido a que el usuario, creyendo en la buena voluntad de los correos que recibe, ingresa al enlace y el acortador se encarga del resto del trabajo, redirigiendo al usuario a un sitio dañino.

Como defensa de los acortadores hay que mencionar que los mismos dan de baja en un corto período de tiempo (horas o minutos) las URL que son denunciadas como maliciosas pero, para ese entonces el daño ya está hecho y debió haber existido al menos una persona que realizara la denuncia.

En ese contexto, aparecen algunos de los problemas:

  • La responsabilidad de los acortadores se limita a, como ellos expresan, brindar el servicio de acortar la URL sin interesarse en el contenido del dominio que acortan.
  • Algunos de los sitios sí realizan verificaciones contra lista negras de dominios dañinos, que pueden obtenerse a través de listas negras privadas o públicas. Nuevamente, si el sitio no aparece en ninguna lista negra, el problema persiste.
  • Algunos realizan chequeos sobre las URL que acortan, incluso algunas compañías antivirus brindan acortadores bajo la promesa de realizar esta verificación previa. Pero, ninguno de ellos puede asegurar que no será engañado (la seguridad 100% no existe).
  • Algunos de estos servicios disponen de la posibilidad de crear URL cortas personalizadas. El peligro en esto radica en que se podrían generar URLs tales como www.servicio/GANA-DINERO.

Como ejemplo y, para evaluar la cantidad de sitios dañinos que han utilizado Bit.ly y TinyURL en los últimos 90 días, se pueden ver los resultados brindados por Google Safebrowsing:

  • http://www.google.com/safebrowsing/diagnostic?site=bit.ly
  • http://www.google.com/safebrowsing/diagnostic?site=tinyurl.com/

A simple vista, en este análisis se pueden ver sitios con scripts dañinos, exploits, malware, phishing, etc., todos ellos ocultos detrás de una URL corta "imposible" de detectar a simple vista.

Incluso Bit.ly recomienda algunas medidas de seguridad, antes de hacer clic sobre la URL brindada.

Más allá de todos estos problemas expresados, en la última semana, hemos podido analizar múltiples acortadores y algunos de ellos presentan la posibilidad de manipular subdominios (DNS Wildcard) permitiendo disfrazar aún mejor una URL acortada.

Así, por ejemplo, se puede crearuna URL del siguiente tipo y lograr que el usuario piense que está por ingresar al sitio de un Banco: http://www.Banco-Bradesco.bit.ly/cStvC8

En realidad Bit.ly ignora el subdominio "Banco-Bradesco" y resuelve la URL acortada. Puede verse qué es lo que se resuelve ingresando a http://bit.ly/cStvC8+ (el signo "+" muestra información de la URL).

Luego de lo expresado, es de destacar que así como los acortadores brindan un beneficio importante para los usuarios, si estos servicios no se preocupan por verificar las URL, serán una fuente de ataques cada vez más utilizados por los delincuentes.

 

Fuente: Boletín Segu-Info

Trackback URL for this post:

http://shadowjah.com/trackback/acortadores_url_problemas
»