El peligro de la previsualización de enlaces en las apps de mensajería

Recientemente investigadores de seguridad cibernética revelaron nuevos riesgos para la seguridad informática asociados con la previsualización de enlaces. Esto es algo que se está haciendo muy común en aplicaciones de mensajería como Whatsapp.

Esto puede hacer que los enlaces enviados a través de chats cifrados de extremo a extremo sean expuestos, e incluso provocar la descarga innecesaria de datos en segundo plano.

Los investigadores Talal Haj Bakry y Tommy Mysk dicen que los enlaces compartidos en los chats pueden contener información privada destinada únicamente a los destinatarios, como facturas, contratos, registros médicos o cualquier cosa que pueda ser confidencial.

Las aplicaciones que dependen de servidores para generar vistas previas de los enlaces pueden estar violando la privacidad de sus usuarios al enviar a sus servidores los enlaces compartidos en un chat privado.

El peligro de la previsualización de enlaces en las apps de mensajería

Una característica que vemos cada día más

Las vistas previas de los enlaces son una característica común en la mayoría de las aplicaciones de chat. Esto provee una vista previa visual, así como una breve descripción del enlace compartido.

Por ejemplo, si un cerrajero de 24 horas te envía el enlace de una cerradura que va a instalar en tu casa, es posible que junto con el enlace veas una foto y algunos datos adicionales, como el precio.

Algunas aplicaciones como Signal y Wire dan a los usuarios la opción de activar o desactivar las vistas previas de los enlaces. Otras como TikTok y WeChat no generan ninguna vista previa de los enlaces.

Las aplicaciones que sí generan las vistas previas lo hacen ya sea por el lado del remitente o del destinatario o usando un servidor externo. El resultado es enviado luego tanto al remitente como al destinatario.

La generación de vistas previas de Apple iMessage, Signal, Viber y WhatsApp, funciona descargando el enlace en el lado del remitente. Luego se crea la vista previa y el resumen, que se envía al destinatario.

Cuando la aplicación al otro extremo recibe la vista previa, muestra el mensaje sin abrir el enlace, protegiendo así al usuario de enlaces maliciosos.

Vistas previas generadas por el destinatario

Por el contrario, las vistas previas generadas en el lado del receptor abren la puerta a nuevos riesgos. Esto permite al remitente obtener la ubicación aproximada del receptor, simplemente enviando un enlace a un servidor bajo su control.

Esto sucede porque la aplicación abre la URL automáticamente para crear la vista previa, revelando así la dirección IP del teléfono en la solicitud enviada al servidor.

La app de chat de Reddit, y otra aplicación cuyo nombre se mantiene en el anonimato, seguían este enfoque según dicen los investigadores.

Vistas previas generadas por el servidor

El uso de un servidor externo para generar vistas previas, si bien protege al destinatario del mensaje, crea nuevos problemas y preguntas. ¿El servidor conserva una copia del contenido? Y si es así, ¿por cuánto tiempo, y para qué la utilizan?

Varias aplicaciones, entre ellas Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, y Zoom, entran en esta categoría, sin que se indique a los usuarios que los servidores están descargando todo lo que encuentran en un enlace.

Las implicaciones para la privacidad y seguridad

Bakry y Mysk han expuesto anteriormente las fallas de TikTok que hicieron posible que los atacantes mostraran videos fake en cuentas verificadas al redirigir la aplicación a un servidor falso.

Las vistas previas de los enlaces son una buena característica de la que los usuarios generalmente se benefician, pero estos investigadores han mostrado la amplia gama de problemas que esta característica puede tener cuando la privacidad y seguridad no son consideradas cuidadosamente.

Los investigadores recomiendan cautela a los desarrolladores. Siempre que se construya una nueva característica, hay que tener en cuenta las implicaciones a la seguridad, porque será utilizada por miles o incluso millones de personas en todo el mundo cada día.