Acortadores Peligrosos: El Tamaño Importa

Probablemente Ud. ha visto una variedad de URLs como http://bit.ly/hZCRe5 o http://goo.gl/RD0NS -- Estos son los URLs cortos. Este tipo de URLs son provistos por servicios que pueden aceptar un URL muy largo y complejo como los que usan algunos sitios web, convirtiéndolos a una representación mucho más compacta, como la que ven más arriba.

Estos URLs son más fáciles de escribir, no sufren del problema de las líneas cortadas cuando se envían por correo, se pueden dictar por teléfono y quizás lo más importante, ocupan menos espacio en los 140 caracteres de un Tweet.

Todo esto ha llevado a la moda de acortar los URLs.

Pero hay un detalle que no debemos pasar por alto, porque afecta directamente la seguridad de la red: Los URLs acortados no nos permiten saber hacia qué apuntan sin hacer click.

Esto está siendo aprovechado con cada vez más frecuencia para enviar enlaces que engañan al destinatario para instalar programas maliciosos en su computadora o como ayuda en el robo de su identidad -- imagine un mensaje que dice venir de un banco, que incluye un URL corto que apunta a una página que "luce" como la página de ingreso a la banca por Internet...

¿Cómo defendernos de esta amenaza? La respuesta no es clara. Los operadores responsables de servicios para acortar URLs, filtran preventivamente los URLs que se van a acortar y adicionalmente, los revisan periódicamente para asegurarse de que no contienen software malicioso. Este es un paso importante, preventivo, para mantener la viabilidad de estos servicios. Puede encontrar una lista de servicios para acortar URLs en forma segura en http://www.surbl.org/redirection-sites.

Nos queda el problema de lidiar con aquellos servicios para acortar URLs que no aparecen en esa lista... En el caso de los operadores de mensajería corporativa -- empresas que usan su propio sistema de correo y por ende, tienen políticas más agresivas -- la respuesta puede ser tan simple como bloquear mensajes con URLs. Esta es una política restrictiva y que limita la utilidad del correo electrónico en muchos casos, lo que en cambio impulsará el uso de sistemas de mensajería públicos para suplantar esta funcionalidad dentro de la empresa. ¿Realmente quiere que sus empleados envíen correo del negocio a través de cuentas públicas, que no están sujetas a sus políticas?

Para los usuarios personales, la única recomendación que podemos hacer es extremar el cuidado cuando se manejan URLs acortados. Deben asumir siempre que un URL de este tipo es hostil.