Acortar una URL puede exponer tus archivos en la nube

La culpa fue de Twitter. Y de Quitter. Y de otros como pump.io y Plurk. Con las redes sociales de microblogging soplaron nuevos vientos en Internet. También floreció algún que otro dolor de cabeza. Si algo las diferenciaba de las convencionales era el límite a la hora de escribir el mensaje: 140 caracteres. ¿Pero cómo contarlo todo en dos líneas cuando la URL ocupa casi la mitad? bit.ly y goo.gl son la respuesta. Pero, cuidado, porque un estudio publicado por dos investigadores de la escuela de tecnología Cornell Tech, en Nueva York, asegura que no son tan inocuos como deberían.

bit.ly y goo.gl funcionan redirigiendo las direcciones largas a través de sus servidores y generando URL cortas. Es un proceso sencillo que Martin Georgiev y Vitaly Shmatikov, los autores del estudio, se han encargado de desenmarañar demostrando que ambos acortadores no son tan seguros como parecen: son predecibles, las direcciones generadas son reutilizadas tras un determinado periodo de tiempo y las URLs que dirigen a OneDrive, la nube de Microsoft, y Google Maps ponen en riesgo la privacidad de los usuarios.

“Los cinco o seis caracteres incluidos en las URL cortas son tan insuficientes que pueden ser escaneados utilizando métodos de fuerza bruta”. En el estudio, que les ha llevado 18 meses, han generado cien millones de direcciones de bit.ly de seis caracteres aleatoriamente. La primera conclusión: el 42% de ellas ya habían sido generadas con anterioridad. Lo que las hace predecibles y repetitivas. De ellas, algo más de 19.500 conducían a archivos almacenados en OneDrive y SkyDrive.

“Accediendo desde la URL a un documento compartido, se puede construir la dirección raíz y automáticamente entrar a la cuenta, descubriendo todos los archivos y carpetas compartidos”, asegura el estudio. A través de este proceso, los investigadores han sido capaces de acceder a casi un millón y medio de archivos, “incluyendo cientos de miles de PDFs y Words, hojas de cálculo, multimedia y ejecutables”.

Además, el 7% de ellos no estaba protegido, lo que permitía modificarlos. “Esto significa que cualquiera que se dedique a escanear aleatoriamente URLs de bit.ly encontrará miles de archivos y carpetas en OneDrive desprotegidos, pudiendo modificarlos o subir contenido arbitrario, incluyendo malware”.

Google Maps y reacciones

A diferencia de bit.ly, el acortador de Google hasta septiembre del año pasado tan solo usaba cinco caracteres. De los casi 24 millones de URLs generadas, el 10% conducía a direcciones en Google Maps. Aunque entre ellas había lugares comunes, como tiendas o supermercados, también había direcciones personales. Más de 16.000 direcciones incluían principio y final. Y la mayoría de ellas terminaban en “clínicas para el tratamiento de enfermedades específicas (como el cáncer o desordenes mentales), centros de desintoxicación, clínicas abortivas, correcionales y centros de detención juveniles y burdeles”, asegura el estudio.

Para demostrar el peligro potencial de estos datos, los investigadores llegaron a identificar a una mujer que había compartido direcciones a través de goo.gl hasta un centro de planificación familiar. Utilizando las URL generadas y Google Maps, Georgiev y Shmatikov fueron capaces de adivinar su dirección, nombre y edad. Empezando desde una vivienda particular y mapeando todas las direcciones haciendo que parezcan los puntos finales de destino desde y hacia la dirección inicial, crearon un mapa de quien visitó qué. “Es un leak bastante sustancial”, asegura Shmatikov.

Ambos investigadores ya han puesto en conocimiento, tanto de Microsoft como de Google, los resultados del estudio. La compañía de Bill Gates ha quitado la opción de compartir archivos desde OneDrive con bit.ly. Por su parte, goo.gl cambió la secuencia de números y letras generada al compartir una dirección de Google Maps, pasando de cinco caracteres a 11 y 12.