{"id":1896,"date":"2020-10-30T07:29:57","date_gmt":"2020-10-30T13:29:57","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1896"},"modified":"2020-10-30T07:30:46","modified_gmt":"2020-10-30T13:30:46","slug":"riesgos-de-la-previsualizacion-de-enlaces-en-aplicaciones-de-mensajeria","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1896","title":{"rendered":"Riesgos de la previsualizaci\u00f3n de enlaces en aplicaciones de mensajer\u00eda."},"content":{"rendered":"

\"\"Esta publicaci\u00f3n en el sitio Una al d\u00eda, <\/strong>que se reproduce por constituir una de las mayores amenazas que est\u00e1n presentes en nuestro \u00e1mbito. es com\u00fan que las personas no sean reflexivas al recibir mensajes por las diversas v\u00edas que existen en las TIC y esto trae consigo la posibilidad de que ya no solo al abrir la nota, sino al previsualizarla (porque para ello debe \u00abmostrarse\u00bb en el dispositivo), ya existe riesgo de sufrir afectaci\u00f3n.<\/p>\n

<\/p>\n

Recientemente se ha publicado un estudio donde se analiza la generaci\u00f3n de res\u00famenes o miniaturas de los enlaces enviados a trav\u00e9s de aplicaciones de mensajer\u00eda instant\u00e1nea, as\u00ed como los riesgos asociados, tanto desde el punto de vista de la seguridad como de la privacidad.<\/p>\n

La previsualizaci\u00f3n de enlaces es una caracter\u00edstica com\u00fan entre las aplicaciones de mensajer\u00eda instant\u00e1nea, mediante la cual se acompa\u00f1a el enlace enviado con un resumen de su contenido. La generaci\u00f3n del mismo puede hacerse de diferentes maneras, con sus implicaciones para la seguridad y privacidad.<\/p>\n

No generar previsualizaci\u00f3n<\/p>\n

Se env\u00eda el enlace tal cual, sin informaci\u00f3n sobre el mismo. Es el m\u00e9todo m\u00e1s seguro, ya que no se realiza ninguna interacci\u00f3n con el servidor hasta que el usuario decide abrirlo. Utilizado por Signal (si est\u00e1 desactivada la previsualizaci\u00f3n), Threema, TikTok y WeChat.<\/p>\n

El emisor genera la previsualizaci\u00f3n<\/p>\n

En este caso es la aplicaci\u00f3n del emisor la que accede a la direcci\u00f3n, recupera el contenido y confecciona el resumen del mismo, envi\u00e1ndolo al receptor. La otra parte muestra la informaci\u00f3n recibida, sin interactuar en ning\u00fan caso con el servidor al que apunta el enlace hasta que, efectivamente, decida abrirlo.<\/p>\n

Se trata de la forma m\u00e1s segura, ya que el receptor estar\u00eda a salvo en caso de ser un enlace malicioso, pudiendo hacerse una idea de su contenido previa a su apertura.<\/p>\n

De acuerdo con la investigaci\u00f3n, es utilizado por iMessage, Signal (con la previsualizaci\u00f3n activada), Viber y WhatsApp.<\/p>\n

El receptor genera la previsualizaci\u00f3n<\/p>\n

Esta variante es, sin duda, la menos segura. Cuando la aplicaci\u00f3n recibe un mensaje que contiene enlaces, descarga su contenido y lo analiza sin la intervenci\u00f3n del usuario, lo que expone la direcci\u00f3n IP en uso por el dispositivo. Un atacante podr\u00eda enviar un enlace de su propio servidor, obtener la direcci\u00f3n IP de origen de la petici\u00f3n y utilizar alguna herramienta de geolocalizaci\u00f3n para determinar la ubicaci\u00f3n del usuario.<\/p>\n

En el momento de la la publicaci\u00f3n de esta entrada, los investigadores a\u00fan no han desvelado que aplicaciones utilizan este m\u00e9todo, y est\u00e1n a la espera de su correcci\u00f3n y distribuci\u00f3n para publicarlo.<\/p>\n

Utilizaci\u00f3n de un servidor externo<\/p>\n

En el t\u00e9rmino medio tenemos las aplicaciones que hacen uso de un servidor externo para la generaci\u00f3n de los res\u00famenes. Cuando se env\u00eda un enlace, la aplicaci\u00f3n de origen lo env\u00eda a un servidor de la empresa para genere la vista previa, que ser\u00e1 visualizado por ambas partes. Se soluciona el problema de la exposici\u00f3n de la direcci\u00f3n IP, dado que la petici\u00f3n no tiene como origen el dispositivo del receptor, pero es incompatible con los sistemas con cifrado extremo a extremo.<\/p>\n

Por otra parte, surgen otras consideraciones relativas a la privacidad. Si se env\u00eda un enlace a un fichero de Dropbox, por ejemplo, el servidor ha de descargarlo para realizar su tarea, pero no queda claro si mantiene una copia, durante cu\u00e1nto tiempo, o si se realizan alg\u00fan otro tipo de proceso sobre el mismo.<\/p>\n

Algunas de las aplicaciones que utilizan servidores externos son: Discord, Facebook Messenger, Google Hangouts, Instagram, Line, LinkedIn, Slack, Twitter o Zoom.<\/p>\n

En el informe se detallan otro tipo de problemas relativos al consumo de datos m\u00f3viles o un uso excesivo de bater\u00eda. Queda patente la dificultad de implementar adecuadamente una funcionalidad, en apariencia sencilla, que todos damos por hecho.<\/p>\n

M\u00e1s informaci\u00f3n:
\nhttps:\/\/www.mysk.blog\/2020\/10\/25\/link-previews\/<\/a><\/p>\n

https:\/\/thehackernews.com\/2020\/10\/mobile-messaging-apps.html<\/a><\/p>\n

Fuente: Una al d\u00eda<\/a> <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Esta publicaci\u00f3n en el sitio Una al d\u00eda, que se reproduce por constituir una de las mayores amenazas que est\u00e1n presentes en nuestro \u00e1mbito. es com\u00fan que las personas no sean reflexivas al recibir mensajes por las diversas v\u00edas que existen … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,56,6,36,11,14,58,53,27,40],"tags":[],"class_list":["post-1896","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-buenas-practicas","category-codigos-malignos","category-competencia-informatica","category-dispositivos-moviles","category-incidentes","category-noticias","category-redes-sociales","category-seguridad-en-redes-sociales","category-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1896"}],"version-history":[{"count":2,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1896\/revisions"}],"predecessor-version":[{"id":1899,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1896\/revisions\/1899"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}