Twitter implanta un nuevo acortador de URLs

Publicado por el mar 10, 2010

Compartir

El phishing es una estafa muy extendida en el correo electrónico, pero no por ello conocida por todos. Consiste en enviar un mensaje, cuyo cuerpo sea muy parecido al que pudiese enviar, sin ir más lejos, una entidad bancaria (mismos logos, mismos eslóganes, enlaces falsos a la web de la entidad, etc.), para avisar de alguna supuesta incidencia o mantenimiento, e inducir al receptor a entrar en la página web y proporcionar su clave (un error en realidad, pues los bancos no remiten ese tipo de información por e-mail). Por si queda algún lector que desconozca este tipo de engaño, lo que hay que hacer con ese tipo de correos es enviarlos a la basura directamente, sin pinchar en ningún enlace y sin abrir los posibles archivos adjuntos.

Los problemas de seguridad en las aplicaciones online es directamente proporcional a su índice de uso. Cuanto más éxito tiene una plataforma, más probabilidad existe de que sus usuarios sufran ataques de phishing, spam, malware, etc. Twitter no iba a ser una excepción y, a finales del mes de febrero de 2010, en el propio blog del sistema de microblogging (Avoid ‘Phishing’ Scams), se explicaba que se estaba trabajando en evitar los mecanismos de engaño para robar contraseñas.

Twitter, tiene un agujero de seguridad, al parecer muy fácil de asaltar. O tenía, porque ayer se anunciaban (Trust And Safety) las medidas adoptadas para evitar los fraudes de phishing, el spam y otros tipos de abusos. El escollo se encuentra en los mensajes directos (DM) y en los vínculos acortados, siendo ésta última una característica de Twitter obligada por la necesidad de ajustarse a los 140 caracteres de rigor.

El uso de los acortadores de direcciones (bit.ly, tinyurl.com, urlcorta.es, etc.) se popularizó a raiz del éxito del microblogging pero como la verdadera URL va encriptada en el enlace acortado, éstos se convierten en pequeñas bombas de relojería. Un vínculo acortado dentro de un DM, supuestamente remitido por alguien de confianza, puede llevarnos a un sitio falso (un clon maligno de la pagina home de Twitter, por ejemplo) o ejecutar Cross site scripting, código malicioso basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Si, una vez engañado, el usuario introduce sus datos en la página fraudulenta, el phishing provocará una reacción en cadena, engañando a sus contactos y así sucesivamente.

Hasta ahora, los esfuerzos del equipo de Twitter se centraban en luchar por la detección de las cuentas afectadas por fraudes de phishing y el restablecimiento de sus contraseñas. Sin embargo, con el nuevo servicio se ataja el problema antes de que suceda. En principio, se utilizará un nuevo acortador de direcciones (twt.tl) en mensajes directos y notificaciones por e-mail. Eso es lo que veremos cuando tuiteemos un enlace, pero en la trastienda sucederán las validaciones pertinentes para asegurar que ese enlace es de los buenos. O eso, al menos, es lo que se promete desde el “Departamento de Seguridad y Confianza” de Twitter. Confiemos en ellos pero no dudes en aplicar los consejos de seguridad al usar Twitter: cuidado con los tuits, DM’s y mentions que lleven enlaces acortados; y utiliza solo aplicaciones para Twitter de confianza (desconfía, en general, de aquellas que te pidan usuario y contraseña).

Compartir

ABC.es

Weblog Magazine © DIARIO ABC, S.L. 2010

Noticias y tutoriales sobre blogging y medios socialesMás sobre «Weblog Magazine»

Etiquetas
Calendario de entradas
abril 2017
L M X J V S D
« mar    
 12
3456789
10111213141516
17181920212223
24252627282930
Tweets recientes