Muerte a los acortadores

· Pablo ·

Los acortadores de URL crean un enlace corto que redirecciona a otro dado. Fueron popularizados por Twitter1, y se utilizan para obtener estadísticas de uso o simplemente porque son más estéticas, fáciles de memorizar, escribir o distribuir. Aunque tienen usos legítimos los acortadores no son seguros y dañan Internet.

Cómo funcionan

Un acortador funciona con una base de datos en la que un número (ID) identifica cada URL de forma única. La ID se genera aleatoriamente hasta encontrar una que esté libre: coger la mínima ID no ocupada expone mucha información2 y tiene problemas de concurrencia. La URL que se genera es entonces la ID convertida a base 36 (length ['a'..'z'] + length [0..9]) o 62 (añadiendo mayúsculas).

De esta forma sólo hace falta ver la ID asociada a la URL que tenemos y redireccionar al usuario. Esta operación añade un tiempo de carga notable a los links: una combinación de acortadores frecuente puede añadir un retardo de 1-3 segundos en la carga de una web. Pero este no es el principal problema de los acortadores.

Privacidad

Es muy sencillo explorar las URLs que existen en un determinado servicio generándolas aleatoriamente. Además, algunos acortadores no generan las URLs uniformemente3, lo que puede permitirnos encontrar URLs que funcionen más fácilmente.

Justo esto es lo que hicieron Martin Georgiev y Vitaly Shmatikov en Gone in Six Characters: Short URLs Considered Harmful for Cloud Services. Los investigadores generaron URLs para Bitly, Google Maps, OneDrive y otros servicios. Aunque sólo escanearon un pequeño porcentaje de las URLs del espacio completo4 encontraron unos 60 millones de URLs existentes.

Para algunos servicios como OneDrive, obtenida una URL era posible encontrar el resto de las URLs generadas por el usuario y modificar e incluir malware en las carpetas compartidas.

En Google Maps y otros servicios de mapas las URLs encontradas daban información sobre recorridos desde casas unifamiliares hasta sitios como centros de tratamiento de adicciones, clínicas de aborto, centros de detención juvenil u otras casas, lo que supone un grave problema de privacidad. Estas direcciones pueden servir también para identificar relaciones personales y cosas tan simples como la ruta que haces hasta llegar al trabajo pueden identificarte de forma única. En suma, aunque no estén asociados a ningún nombre los datos de localización no son anónimos. Por supuesto la NSA nadie se pondría a mirar de forma sistemática este espacio de direcciones para obtener información sobre los ciudadanos.

Microsoft ha desactivado la creación de URLs cortas en OneDrive (aunque todas las URLs antiguas siguen teniendo esta vulnerabilidad), y Google ha incrementando la longitud de las URLs cortas a 11-13 caracteres, lo que reduce drásticamente la densidad de URLs utilizadas entre las que se pueden generar.

En su estado actual los acortadores de URLs no son seguros ni privados. Cuando acortas una URL debes asumir que su contenido podrá ser accedido por la NSA cualquiera con suficiente poder computacional.

Aleatoriedad

Es imposible saber a donde apunta una URL acortada hasta hacer una petición al servicio, ya que las IDs se generan aleatoriamente. Esto tiene dos problemas importantes.

En primer lugar, no puedes saber si la página que hay detrás del link que visitas es segura. Aunque los acortadores suelen analizar las URLs para evitar el spam este análisis no siempre es efectivo. Además, si un servicio (como ocurrió con cli.gs) es hackeado, sus URLs anteriormente seguras pueden ser redireccionadas a sitios maliciosos.

Y, en segundo lugar, si un servicio se interrumpe millones de URLs dejarán de funcionar5. Esto no es poco común: ArchiveTeam tiene una lista de más de 300 acortadores que han dejado de funcionar y de otra lista de acortadores mantenida por yi.tl un 60% han desaparecido. La mayor parte de estos acortadores no cooperan en el archivado de sus bases de datos, lo que hace que estos links acaben siendo simplemente secuencias de caracteres aleatorias.

Los enlaces rotos son un grave problema para la conservación de la información en Internet. Entre un 3% y un 5% 6 de los links desaparecen cada año, lo que dificulta acceder a las referencias de las publicaciones científicas y, en general, conservar Internet. Organizaciones como Internet Archive archivan copias periódicas de la web, lo que nos permite acceder a documentos que de otra forma no estarían disponibles.

Entre un 35% y un 90% de la web ha sido archivada alguna vez, pero cuando un acortador de URLs deja de funcionar dejamos de poder acceder a ese contenido. URLTeam y 301Works son proyectos que pretenden guardar las bases de datos de los servicios de acortadores, pero no son suficientes: debemos dar de una vez muerte a los acortadores.

  1. Desde junio de 2010 cualquier URL en un tweet ocupa 23 caracteres lo que hace inútiles los acortadores para su propósito original. 

  2. Así se estimó el número de tanques que producía Alemania en la Segunda Guerra Mundial. 

  3. Security and Privacy Implications of URL Shortening Services - Alexander Neumann, Johannes Barnickel, Ulrike Meyer 

  4. Escanear el espacio completo es posible según el paper utilizando servicios como Amazon EC2 o botnets en un tiempo razonable. 

  5. Los acortadores de URLs son además más propensos a ser cerrados ya que entran bajo la jurisdicción del país que provee el nombre de dominio. vb.ly cerró por no cumplir la ley Sharia de Lybia al permitir pornografía. 

  6. En las redes sociales la pérdida puede llegar hasta el 11% cada año. Mi estimación en función de los links que he leído es similar