¿las URL abreviadas son seguras o no?

Publicado el 15 abril 2016 por Emoto

Desde hace unos años, muchos son los servicios que nos ofrecen la posibilidad de enviar una URL abreviada para compartir un archivo, una carpeta, una dirección o simplemente un enlace que es demasiado largo. De hecho, si realizamos una búsqueda en internet, podemos encontrar muchos servicios web que nos ofrece la posibilidad de acortar direcciones web. Google y Microsoft son las empresas que más utilizan este tipo de servicio a la hora de compartir direcciones de Google Maps, carpetas de Google Drive o bien algún archivo o carpeta que tengamos almacenado en nuestro servicio de almacenamiento en la nube de Microsoft, OneDrive.

Martin Georgie y Vitaly Shmatikov, investigadores de seguridad han descubierto que aplicando ataques de fuerza bruta sobre direcciones web abreviadas se puede acceder a las mismas. Cuando queremos compartir direcciones de Google Maps, la direcciones están compuestas por 150 caracteres, pero para facilitar su uso, se reducen a tan solo seis. Pero esa combinación de seis caracteres no es lo suficientemente fuerte como para resistir ataques de fuerza bruta y pueden exponer la información relacionada que almacena, ya sea una dirección física, una carpeta compartida...

Georgie y Shmatikov afirman que podiendo acceder a las carpetas compartidas por los usuarios, es muy sencillo poder colar cualquier archivo malicioso que de dedique a compartir con otras personas todo el contenido que se almacene en el mismo sin que nosotros nunca lleguemos a saberlo. En un principio no debería cundir el pánico, ya que este tipo de direcciones no se publican en cualquier parte, sino que se comparten únicamente con las personas que deben tener acceso al mismo. En respuesta a esta información publicada por los investigadores Martin y Vitaly, Google ha doblado el número de caracteres mientras que Microsoft eliminará los enlaces abreviados de su servicio de almacenamiento en la nube OneDrive.