• Pruebas y descargas
  • Prueba gratis - productos domésticos / oficina en casa
  • Productos para pymes y corporaciones
  • Malware Cleaner
  • Instaladores
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• Información sobre Norman
  • Visión y valores
  • Equipo directivo
  • Nuestra tecnología
  • Premios y certificaciones
  • Casos prácticos de clientes
  • Notas de prensa
  • Eventos
  • Empleo
  • Subscripción a lista de correo
  • Contáctenos

Centro de seguridad

Direcciones URL abreviadas: ¿buen o mal sistema?

2009-07-03 [Debate sobre el malware, Ingeniería social, Mecanismos de propagación, Tendencias y previsiones]

   Week 16, 2009

Introducción

Las direcciones URL (siglas en inglés de Localizador uniforme de recursos) son uno de los elementos fundamentales para el uso de Internet. Especifican dónde están disponibles los recursos de Internet y cómo acceder a los mismos.

Por ejemplo, la dirección URL http://www.norman.com/technology/norman_sandbox/54570/en especifica que el recurso de Internet específico technology/norman_sandbox/54570/en  reside en el ordenador www que se encuentra en el dominio norman.com. Para acceder a dicho recurso es necesario utilizar el método http  (Protocolo de transferencia de hipertexto, por sus siglas en inglés), también denominado navegación por la web, que es el más utilizado en Internet.

Dado que la información disponible en Internet ha ido creciendo continuamente y la publicación en cierta medida se ha automatizado, dichas direcciones URL pueden ser largas, complejas y poco transparentes. Resulta engorroso escribirlas, por lo que la tecnología de vinculación, mediante la cual se hace clic en una dirección URL para recuperar el recurso, resulta bastante práctica. 

Twitter: un impulso para los proveedores de direcciones URL cortas

La vinculación resuelve el problema de tener que escribir manualmente la dirección URL con el teclado.  No obstante, no resuelve el problema de que detrás del vínculo visual pueda haber información acerca de la propia dirección URL. Y precisamente eso constituye un problema cuando el usuario tiene a su disposición un pequeño número de caracteres. Es el problema de algunas redes sociales como Twitter, que admiten solamente 140 caracteres como longitud máxima de sus mensajes. La dirección URL de nuestro ejemplo, mediante la cual se accede a información acerca de la tecnología SandBox de Norman, consume más de una tercera parte del número de caracteres admisibles.

Y en este caso entran en juego los proveedores de direcciones URL cortas, que han experimentado una creciente popularidad, correspondiente al crecimiento de Twitter y de redes sociales similares con restricciones en la longitud de los mensajes.

Entre los numerosos proveedores de funciones de abreviatura de direcciones URL merecen mencionarse:

• Metamark
• TinyURL.com
• ShortURL.com
• bit.ly
• Cligs
• is.gd

La funcionalidad de las direcciones URL abreviadas

En resumen, los proveedores de direcciones URL cortas ofrecen un esquema de conversión entre direcciones URL cortas y fáciles a direcciones URL de destino más largas y complejas. La conversión entre direcciones URL cortas y largas la efectúa el proveedor de direcciones URL abreviadas.

Como es obvio, esta funcionalidad resulta práctica y tentadora a primera vista. Pero como veremos a continuación, también supone problemas de seguridad.

Problemas de seguridad: dos tipos diferentes

El uso de la funcionalidad de abreviatura de direcciones URL supone al menos dos problemas de seguridad completamente diferentes.

Vulnerabilidades de los proveedores de URL abreviadas

Se trata del problema de seguridad más serio.

Si el propio sistema queda expuesto, las consecuencias pueden ser muy graves. Algún recurso interno del proveedor de direcciones URL abreviadas o un pirata externo pueden modificar el sistema de tal manera que la dirección URL no se "convierta" a la que los usuarios pretendían. En su lugar, la dirección URL abreviada podría llevar al cibernauta inocente que haga clic en la misma a sitios web con contenidos maliciosos (en el peor de los casos).

Y esta situación no es solamente teórica:

EL 15 de junio de 2009, Cligs, uno de los servicios de abreviatura de direcciones URL, fue pirateado según lo informó una entrada en el blog del sitio web del proveedor. Esto afectó a aproximadamente 2 millones de direcciones URL cortas, que tras el ataque se vincularon a destinos distintos de los previstos.

Problemas de seguridad causados por usuarios maliciosos del sistema

Este tipo de problemas es posible si (¡dado que!) no todos los usuarios de estos sistemas pueden tener propósitos benignos. Aunque los proveedores de direcciones URL abreviadas pueden contar con algunos sistemas para verificar las páginas web a las que están vinculadas las direcciones URL cortas, dichos sistemas nunca son perfectos. Los creadores de una dirección URL abreviada pueden vincularla a un sitio web malicioso o a un sitio del que cobran una remuneración por el número de visitantes procedentes de una dirección URL específica.

Deficiencias del propio sistema

Normalmente, cuando se ve un vínculo, el posible situar el ratón sobre el mismo para ver a dónde lleva. En ese caso, el usuario puede optar por hacer clic en el mismo o no.

Esa información no está disponible para los usuarios que deben decidir si hacer o no clic en una dirección URL abreviada.

Resumen

Obviamente, la funcionalidad de direcciones URL abreviadas tiene sus méritos. No obstante, existen deficiencias y problemas que hacen que el sistema resulte menos seguro de lo que sería deseable.

 

• Política de confidencialidad
• Acuerdo de Licencia
• Marcas comerciales
• Mapa del sitio
• Contáctenos

© Norman ASA