Seguridad

Los acortadores de URL amenazan tus archivos en la nube

dominio url
Escrito por Lara Olmo

Ya sabíamos los problemas de seguridad de las URLs abreviadas, pero ahora han descubierto que además pueden escanearse para acceder a la información que encierran.

No es la primera vez que un estudio alerta de los problema de seguridad que plantean las URL abreviadas. Hasta ahora sabíamos que estas direcciones acortadas podían ser maliciosas, pero ahora un nuevo informe revela que además son una amenaza para la privacidad cuando un usuario las emplea para intercambiar información en la nube.

Es la principal conclusión a la que han llegado el investigador Vitaly Shmatikov, de la firma Cornell Tech, y el independiente Martin Georgie, tras analizar durante 18 meses los servicios de Microsoft One Drive y Google Maps, ambos servicios en la nube que emplean el acortamiento de URLs.

En su informe aseguran que estos servicios reducen tanto la longitud de las direcciones, dejándolas en 5, 6 ó 7 caracteres, que resulta muy fácil escanearlas, de tal manera que es posible acceder a las URL originales y al contenido que almacenan.  Pero ¿cómo lo han hecho?

Microsoft, en pleno pulso legal en defensa de la privacidad

OneDrive genera URLs cortas de documentos y carpetas usando el mismo dominio con el que opera Bitly (uno de los acortadores más conocidos). Partiendo de esta premisa, escanearon 100 millones de direcciones en bit.ly generando combinaciones aleatorias de seis caracteres, y el 42% les llevaron a URLs reales, de las cuales 19.524 pertenecían a archivos de OneDrive, la mayoría de ellos online.

Y es que la estructura de las URLs de OneDrive las hace muy predecibles, según estos investigadores. A partir de esas URLs que obtuvieron, consiguieron acceder a un total de 1,3 millones de archivos subidos a la nube de OneDrive. Esto les llevó a la conclusión de que aproximadamente el 7% de las URLs de OneDrive estaban vinculadas a archivos abiertos con permiso de escritura.

El proceso que realizan con el acortador de Google fue muy parecido, aunque les resultó más fácil escanearlo porque Maps solo utiliza cinco caracteres para sus URLs abreviadas. Así, consiguieron encontrar 23 millones de direcciones de Google Maps, de las cuales un 10% correspondían a direcciones y recordatorios de localizaciones, algunas de las cuales eran tan delicadas como clínicas para enfermedades específicas (cáncer y enfermedades mentales), centros de desintoxicación o centros donde se practicaban abortos, entre otros. 

Además, para más inri, estas direcciones estaban asociadas a cuentas específicas de usuarios, con “la amenaza para la privacidad” que ello supone, tal y como aseguran en el informe.

En cuanto al nivel de información que pueden dar los usuario simplemente compartiendo su ubicación, los investigadores han recordado estudios previos que confirman que es posible indetificar hasta a un 95% de ellos solo a partir de cuatro puntos o incluso extraer sus vínculos sociales a partir de los lugares que frecuentan.

El informe ha sido presentado tanto a Google como a Microsoft y ha tenido consecuencias. El primero ha pasado de utilizar 5 caracteres a 11 y 12 en su acortador de URLs para Maps, mientras que Microsoft ha dejado de ofrecer Bitly directamente en OneDrive y ha aplicado cambios en la estructura de las direcciones para que no sean tan vulnerables.

Vía | freedom-to-tinker.com

 

Sobre el autor de este artículo

Lara Olmo

Periodista 2.0 con inquietudes marketeras. Innovación, redes sociales, tecnología y marcas desde una perspectiva millenial. Vinculada al mundo startup. Te lo cuento por escrito, en vídeo, con gráficos o como haga falta.

  • José

    El riesgo de compartir a diestro a siniestro. Buen artículo.