Acortadores de URL y sus riesgos

Un Localizador de Recursos Uniforme (del inglés Uniform Resource Locator o URL) no es más que un término elegante para referirse a las direcciones web tal como http://www.cert.org.mx

Una dirección URL es el nombre que escribes cuando visitas un sitio web o una página web.

Cuando escribes una dirección URL en tu navegador web, éste toma el nombre y lo resuelve o traduce en una dirección IP, la dirección IP es donde está localizado el sitio web en Internet. Tu navegador, entonces, se conecta al sitio web y descarga la página, en ese momento tú ya la puedes ver.

El problema es que los cibercriminales pueden jugarte una variedad de trampas con las direcciones URL, haciéndote pensar que estás visitando un sitio legítimo cuando realmente estás visitando un sitio web diferente, uno controlado por ellos, que muy probablemente esté diseñado para robar tu información o hacer un ataque a tu navegador e infectar tu computadora.

Acortador de direcciones URL

Probablemente habrás visto un acortador de direcciones URL, no es más que un servicio que toma una dirección URL larga y compleja y la compacta en una dirección URL corta y sencilla. Con este tipo de servicios es más fácil compartir una dirección URL en medios de comunicación tradicionales, como el correo electrónico. También se utiliza cuando nos vemos limitados en la cantidad de caracteres que podemos publicar, como en Twitter o en mensajes SMS. Algunos sitios que ofrecen este tipo de servicio son: tinyurl.com, goo.gl y bit.ly. El riesgo que presenta utilizar un servicio acortador de direcciones URL es que no se puede conocer el verdadero destino. Por lo tanto, los atacantes pueden publicar URL acortadas, que en última instancia redirigen a sitios web que son controlados por ellos

Una manera de protegerse contra este tipo de amenazas es verificar a dónde redirige la liga acortada antes de dar clic en ella. Muchos sitios web ofrecen el servicio para identificar el destino de un enlace acortado, como por ejemplo: http://urlxray.com. Además, algunos acortadores de direcciones URL brindan la opción de ver antes de ir al destino. Por ejemplo, para una dirección URL acortada desde el servicio bit.ly, solo se necesita agregar al final el símbolo “+” para conocer el verdadero destino de la dirección URL, por ejemplo:

https://bitly.com/19HtqVH+

bitly

El contenido completo de este articulo lo pueden encontrar en la edición de Junio del boletín OUCH de la SANS. La versión en español estuvo a cargo del UNAM CERT.

http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201306_sp.pdf

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s