Los enlaces cortos están en todas partes en estos días. Todos esos bit.ly, ow.ly, t.co, t.me, tinyurl.com y similares se han convertido desde hace mucho tiempo en una parte familiar del panorama en línea. Tan familiar, de hecho, que la mayoría de los usuarios hacen clic en ellos sin pensarlo dos veces. Pero pensar nunca está mal. Con eso literalmente en mente, explicamos a continuación cómo funcionan los enlaces cortos y qué amenazas a la privacidad y la seguridad pueden representar.
¿Qué sucede cuando haces clic en un enlace corto?
Cuando haces clic en un enlace corto, casi vas directamente al destino previsto, que es la dirección especificada por el usuario que creó el enlace. Casi, pero no del todo: la ruta real se desvía rápidamente a través del servicio de acortador de URL.
Cuanto más eficiente sea el servicio, más breve será y más suave será la transición al destino final. Por supuesto, el retraso parece insignificante para una persona: los humanos somos bastante lentos. Pero para un sistema electrónico, es más que suficiente para realizar todo tipo de actividad, que analizaremos a continuación.
¿Por qué enlaces cortos? La razón principal es el espacio: acortar un enlace largo significa que ocupa menos pantalla (piensa en los dispositivos móviles) y no consume el límite de caracteres (piensa en las publicaciones en las redes sociales). Por desgracia, eso no es todo. Los creadores de enlaces cortos pueden perseguir sus propios objetivos, no necesariamente motivados por la preocupación por los usuarios. Hablemos de ellos.
Enlaces cortos y seguimiento de usuarios
¿Te has preguntado alguna vez por qué muchos enlaces de Internet son tan largos y antiestéticos? Por lo general, se debe a que los enlaces codifican todo tipo de parámetros para el seguimiento de los clics, las llamadas etiquetas UTM .
Por lo general, estas etiquetas se implementan para determinar dónde hace clic el usuario en el enlace y, por lo tanto, para evaluar la efectividad de las campañas publicitarias, la ubicación en las páginas de Blogger, etc. Esto no se hace en nombre de la comodidad del usuario, por supuesto, sino por el marketing digital.
En la mayoría de los casos, esta es una forma de seguimiento bastante inofensiva que no necesariamente recopila datos de los usuarios que hacen clic en los enlaces: a menudo, los especialistas en marketing solo están interesados en la fuente de tráfico. Pero dado que este “packaging” adicional no tiene un aspecto muy estético y, a menudo, hace que la URL sea increíblemente larga, a menudo se utilizan servicios más abreviados.
Lo que es más desagradable desde el punto de vista de la privacidad es que los acortadores de URL no se limitan a redirigir a los usuarios a la dirección de destino. También tienden a recopilar una gran cantidad de estadísticas sobre los clics en el enlace, por lo que sus datos terminan en manos no solo del creador del enlace corto a través de las etiquetas UTM integradas, sino también de los propietarios del acortador de URL. Por supuesto, esto es Internet, y todo el mundo recopila algún tipo de estadísticas, pero el uso de un enlace corto introduce otro intermediario que guarda datos sobre ti.
Enlaces maliciosos disfrazados
Además de violar tu privacidad, los enlaces cortos pueden poner en peligro la seguridad de tus dispositivos y datos. Como nunca nos cansamos de repetir: comprueba siempre los enlaces antes de hacer clic en ellos. Pero con los enlaces cortos, surge un problema: nunca se sabe con certeza a dónde te llevarán.
Si los ciberdelincuentes utilizan enlaces cortos, el consejo de comprobarlos no tiene sentido: solo puedes averiguar a dónde apunta un enlace después de hacer clic. Y para entonces puede que sea demasiado tarde: si los atacantes aprovechan una vulnerabilidad de cero clic en el navegador, la infección puede ocurrir tan pronto como accedas al sitio malicioso.
Enlaces cortos y redireccionamientos dinámicos
Los ciberdelincuentes también pueden utilizar herramientas de acortamiento de enlaces para cambiar la dirección de destino cuando sea necesario. Supongamos que algunos atacantes han comprado una base de datos de millones de direcciones de correo electrónico y la han usado para enviar mensajes de phishing, con algún tipo de enlace, por supuesto. Pero aquí está el problema (para los atacantes): el sitio de phishing que han creado ha sido descubierto y bloqueado rápidamente. Rehospedarlo en una dirección diferente no es un problema, pero luego tendrían que reenviar todos los correos electrónicos de phishing.
La solución es utilizar un servicio de “shimming”, que permite cambiar rápidamente la URL a la que irán los usuarios. Y el papel de “shims” aquí puede ser desempeñado por los acortadores de URL, incluidos los creados originalmente con intenciones dudosas en mente.
Con este enfoque, se agrega un enlace al servicio de shimming al correo electrónico de phishing, que redirige a las víctimas al sitio de los phishers en su dirección activa actualmente. A menudo se utilizan varios redireccionamientos para enturbiar aún más el camino. Y si el sitio de phishing de destino se bloquea, los ciberdelincuentes simplemente lo alojan en una nueva dirección, cambian el enlace en la corrección y el ataque continúa.
Ataques del tipo Man-in-the-middle (ataques de intermediario)
Algunas herramientas de acortamiento de enlaces, como Sniply , ofrecen a los usuarios más que enlaces más cortos. Permiten rastrear las acciones de los usuarios de enlaces en el sitio de destino real, lo que es en la práctica un ataque de hombre en el medio: el tráfico pasa a través de un nodo de servicio intermedio que supervisa todos los datos intercambiados entre el usuario y el sitio de destino. Por lo tanto, el acortador de URL puede interceptar lo que quiera: credenciales ingresadas, mensajes de redes sociales, etc.
Espionaje personal
En la mayoría de los casos, los enlaces cortos destinados a un uso masivo se colocan en publicaciones de redes sociales o en páginas web. Pero surgen riesgos adicionales si se te ha enviado uno personalmente, en un mensajero o un correo electrónico a tu dirección personal o laboral. Al usar dichos enlaces, un atacante que ya tenga cierta información sobre ti puede redirigirte a un sitio de phishing donde tus datos personales están precargados. Por ejemplo, a una copia de un sitio bancario con un nombre de usuario válido y una solicitud para ingresar su contraseña, o a la “pasarela de pago” de algún servicio con tu número de tarjeta bancaria precargado, pidiéndote que ingreses un código de seguridad.
Además, dichos enlaces se pueden usar para doxing y otros tipos de seguimiento, especialmente si el servicio de acortador de URL ofrece una funcionalidad avanzada. Por ejemplo, nuestra publicación reciente sobre la protección de la privacidad en Twitch analizó en detalle formas de desanonimizar a los streamers y cómo contrarrestarlos.
Cómo mantener la protección
¿Qué hacer al respecto? Te recomendamos que nunca hagas clic en enlaces cortos, pero, en la gran mayoría de los casos, los acortadores de URL se utilizan con fines legítimos y los enlaces cortos se han vuelto tan comunes que evitarlos por completo no es realmente una opción. Dicho esto, te recomendamos que prestes especial atención a los enlaces cortos que se te envían en mensajes directos y correos electrónicos. Puedes inspeccionar dichos enlaces antes de hacer clic copiándolos y pegándolos en una herramienta para comprobar enlaces cortos, como GetLinkInfo o UnshortenIt.
Sin embargo, hay un método más simple: una solución de seguridad de alta calidad con un enfoque integrado que se ocupa de la privacidad y la seguridad al mismo tiempo. Por ejemplo, nuestro Kaspersky Premium tiene un componente de navegación privada que bloquea la mayoría de los rastreadores en línea conocidos y, por lo tanto, evita que se supervisen tus actividades en línea.
Nuestros productos también ofrecen protección contra el fraude en línea y el phishing, así que ten la seguridad de que Kaspersky Premium te advertirá a su debido tiempo antes de aterrizar en un sitio peligroso, incluso si el enlace se ha acortado. Y, por supuesto, el antivirus te protegerá contra cualquier intento de infectar tus dispositivos, incluidos los que aprovechan vulnerabilidades aún desconocidas.