Luego de nuestro post sobre la campaña de infección utilizando la bomba en Moscú como excusa, David Harley publicó en el blog de ESET en inglés un post respecto a la problemática de las short-URLs, un tema que me resulta interesante traer a colación.
¿Qué es una short-URL? Es una dirección URL de pocos caracteres (entre 20 y 30 caracteres por lo general) que es utilizada en servicios como Twitter para no tener la necesidad de utilizar las extensas direcciones al momento de enlazar un contenido.
Por ejemplo, la URL:
http://premios.eset-la.com/universitario/virus-bulletin.html
puede ser traducida a:
http://tinyurl.com/y8otx3m
Es decir, pasa de 60 a 26 caracteres.
Sin embargo, esta característica puede ser utilizada tanto para acortar direcciones benignas (así será en la mayoría de los casos) como maliciosas. Y los atacantes hacen uso de esta técnica, tal como mencionábamos por el ataque basado en los atentados en Moscú, o como puede observarse en esta imagen de otra campaña de infección:
¿Cuál es la ventaja para el atacante? Que el usuario no puede ver el dominio al que está siendo enlazado, y por lo tanto no puede decidir sobre la confianza del mismo.
Una alternativa para contar con una capa de protección ante esta amenaza, y recomendada para aquellos usuarios que utilicen Mozilla Firefox como navegador, es utilizar la extensión LongUrlPlease, que muestra las short-URLs de forma tal que puedan observarse los dominios y así permiten al usuario poder tomar una decisión respecto a la seguridad del enlace. El servicio funciona con cerca de 80 proveedores de short-URLs. Por ejemplo, en la siguiente imagen puede observarse un mismo enlace visto con y sin la extensión activada:
Nótese que en el segundo caso, el usuario puede ver el dominio al que está siendo enlazado, y así evitar hacer clic si el mismo no le parece confiable.
De todas formas, recuerden que como en todo ataque de ingeniería social, es importante que el usuario esté atento para no hacer clic en enlaces que puedan ser maliciosos, tengan o no un acortador de URL de por medio.
Sebastián Bortnik
Analista de Seguridad