Los enlaces cortos, víctimas propicias a los ataques de 'phishing'
Los enlaces que acortan direcciones de web largas, muy usados en Twitter, Facebook o Messenger, pueden esconder ataques de phishing, gusanos, robos de cookies y otros problemas de seguridad informática. Estos enlaces no muestran adónde dirigen al navegante, por lo que pincharlos es iniciar un viaje a ciegas, avisan los expertos.
Los enlaces cortos son casi tan viejos como la Web, pero viven ahora una explosión gracias al éxito de sitios como Twitter, que permiten mandar mensajes con un número limitado de caracteres, lo que hace necesario acortar las URL (por ejemplo, www.elpais.com/suple/ciberpais se convierte, si la pasamos por el servicio acortador de Bit.ly, en http://bit.ly/xvDje. El segundo enlace dirigirá a los navegantes hacia el primero).
Estos servicios no dan ninguna pista de qué dirección se esconde tras el enlace corto, por lo que la persona que lo pincha no sabe adónde la redirigen. David Barroso, director de la Unidad de e-Crimen de S21sec, explica: "Pinchamos ciegamente en estos enlaces sin saber adónde vamos realmente, lo que es peligroso. De esta manera se desvanecen las buenas prácticas que habíamos adquirido, de tener sentido común y mirar las direcciones que visitamos".
Desde mediados del año pasado abundan los ataques de phishing, spam y virus realizados mediante enlaces cortos. Al ser direcciones enmascaradas, los programas anti-spam y antivirus no las detectan como maliciosas. Los incautos que pinchan en ellas pueden acabar en un falso formulario de su banco.
Servicios como el acortador de enlaces de Google, Goo.gl, se han usado masivamente para mandar spam. También es posible infectarse con virus, explica Barroso: "Uno de los gusanos más famosos de las redes sociales, KoobFace, utiliza Bit.ly cuando se envía a todos los contactos de su víctima, o publica en su Twitter que tiene un vídeo que puede verse en un enlace corto, y que infectará a quien lo visite".
Los enlaces cortos facilitan también los ataques de Cross Site Scripting, como el que hizo creer que habían cambiado la foto de Zapatero por una de Mr. Bean, en la web de la presidencia española de la Unión Europea.
La defensa ante estos ataques es usar aplicaciones como Echofon o Longurl, que muestran qué enlace se oculta tras el corto, antes de pinchar en él. Algunos servicios, como TinyURL, tienen la opción de visualizar antes adónde nos lleva el enlace.
