La navegación por internet nos expone a ciertos riesgos. Por ejemplo el uso de URLs acortadas no permiten identificar la web de destino a priori. ¿Qué hay que tener en cuenta al pinchar en una URL acortada? ¿Cómo hay que actuar para protegerse de eventuales amenazas?
Las URLs acortadas nacen en 2001 porque en las RRSS solo se permitía un número reducido de caracteres. Posteriormente, su uso se ha extendido en los SMS por el mismo motivo. Actualmente Facebook, Twitter, LinkedIn y Youtube cuentan con recortadores de URL integrados en su propio servicio para facilitar esta tarea a los usuarios.
Por tanto, una URL acortada es solamente una dirección web con menos caracteres que la dirección de la página web original, pero que nos dirige al mismo sitio. A parte de los servicios integrados en las propias redes sociales, existen otras plataformas que permiten acortar URL de manera gratuita, como por ejemplo bit.ly.
Crear una URL acortada es muy sencillo, como puedes ver en el video: hay que ingresar la URL de la página web que quieres recortar y la herramienta la recorta de forma estándar o de forma personalizada (suele ser una opción de pago).
¿Todas las URL acortadas suponen un peligro? No, pero es importante ser conscientes y tomar precauciones
A pesar de que estos enlaces son muy útiles, a menudo son utilizados por los ciberdelincuentes. ¿Por qué? Como hemos mencionado anteriormente, no sabemos el lugar al que vamos a acceder cuando pulsemos sobre un enlace acortado, ya que para saber el destino de esa URL no basta con pasar el cursor por encima del enlace. De hecho, si pasamos el cursor por encima del enlace solo veremos el enlace acortado, pero no su destino real. Por tanto, aprovechan esta situación para engañar a los usuarios y exponerles a amenazas como las siguientes:
Descarga de malware
Los ciberdelincuentes hacen uso de ingeniería social para engañar al usuario y redirigirlo a un enlace para descargar un software, aplicaciones o archivos malicioso en sus dispositivos.
Ataque de phishing o smishing
Redirigir al usuario a una web maliciosa que suplanta a alguna entidad o servicio conocido aprovechando que con la URL acortada no se puede comprobar si se trata del sitio legítimo o no. Una vez dentro, se invita a iniciar sesión o facilitar datos personales y bancarios para hacerse con su control. De hecho, esta práctica se está utilizando en la actualidad para suplantar principalmente a entidades bancarias a través del envío de SMS maliciosos.
Spam
Otra de las amenazas es que se redirija a una página de spam o publicidad no deseada. Estás páginas se caracterizan por contener muchos anuncios, en ocasiones fraudulentos, con las que pretenden conseguir dinero e incluso robar los datos del usuario. ¿Cómo? Intentado que se finalice una suscripción a servicios premium, por ejemplo.
5 maneras de protegerte de las URLs acortadas
- En primer lugar, debemos ser cuidadosos con los enlaces acortados aunque se hayan generado con servicios conocidos. Como ya hemos explicado, los ciberdelincuentes se apoyan en estos para esconder webs maliciosas sin que el usuario se de cuenta.
- Podemos instalar un extensión en el navegador, como es el caso de Unshorten.link para Chrome que nos permita conocer la dirección original a la que nos lleva el enlace acortado. Además, detecta si puede contener malware o si puede tratarse de un phishing. Por otra parte, también existe para el navegador Mozilla Firefox la extensión Link Unshorten que realiza la misma función que la anterior para Chrome.
- Un analizador de direcciones web o URL nos permite analizar la URL que nos han enviado o a la que pretendemos acceder. Nos mostrará información útil como su URL completa, un resumen de la información que tendrá la página web accederemos y, además, realiza un análisis de malware. Algunos ejemplos son VirusTotal y URLVoid.
- No proporcionar ningún dato privado ni ninguna contraseña a páginas web con URL acortadas. Es conveniente que si accedemos a páginas de bancos o tiendas online donde introducimos nuestra tarjeta bancaria, lo hagamos desde la URL completa, asegurándonos siempre de que cumple con estándares de protección y navegación segura, como, por ejemplo, que tenga HTTPS.
¿Sabías que la persona más afectada por phishing de una empresa suele ser el CEO? A parte de que la mayoría de malware que entra en un sistema es a consecuencia de un error humano.
Por razones como estas hemos creado Zepo, un entrenamiento de ciberseguridad para tu equipo, para que sepa cómo detectar este tipo de amenazas.
¿Quieres saber más?