Qué mensajeros filtran tus datos, agotan tu batería y consumen tráfico de Internet
Las vistas previas de enlaces son una característica innegablemente útil. Sin embargo, también puede comprometer la privacidad y la seguridad.
La vista previa del enlace (o vista previa) es una función que se encuentra en casi todas las aplicaciones de mensajería modernas, y no solo está ahí. Simplifica las conversaciones en línea al mostrar una breve descripción del sitio, una imagen en miniatura o imágenes y texto asociados con el archivo vinculado.
Desafortunadamente, también pueden revelar nuestros datos confidenciales, consumir Internet, agotar las baterías de los teléfonos inteligentes e incluso abrir enlaces en chats encriptados de extremo a extremo. Según un estudio publicado el lunes, las violaciones más graves se encontraron en los mensajeros Facebook (sin duda), Instagram, LinkedIn y Line.
¿Cómo funciona la vista previa?
Cuando el remitente incluye un enlace en un mensaje, la aplicación lo acompaña con un título, un texto breve y una imagen. Por lo general, se ve algo como esto:
Para que esto suceda, la aplicación en sí, o un servidor proxy asignado a ella, debe seguir el enlace, abrir el archivo o el sitio web allí y ver qué contiene. Y esto es precisamente lo que hace que los usuarios sean vulnerables a los ataques. Las aplicaciones más peligrosas son aquellas que le permiten descargar malware, mientras que otras pueden verse obligadas a descargar archivos tan grandes que hacen que la aplicación se bloquee, agote la batería o consuma un tráfico de Internet limitado.
Y si el enlace conduce a contenido privado, como una declaración de impuestos publicada en una cuenta privada de OneDrive o DropBox, el servidor de la aplicación puede verlo y almacenarlo indefinidamente.
Los investigadores Talal Haj Bakri y Tommy Mysk, quienes produjeron el informe, encontraron que Facebook Messenger e Instagram tenían la mayor cantidad de abusos. Como se muestra en el video a continuación, ambas aplicaciones descargan y copian todo el archivo vinculado, incluso si se mide en gigabytes. Y eso puede ser un problema si los usuarios quieren mantener privado el archivo que envían.
Los servidores de Instagram descargarán cualquier enlace enviado en mensajes privados, incluso si es de 2,6 GB.
Al descargar estos archivos adjuntos, las aplicaciones pueden consumir una gran cantidad de tráfico de Internet y energía de la batería. Ambas aplicaciones también ejecutan cualquier JavaScript contenido en el enlace. El problema es que los usuarios no tienen la capacidad de verificar la seguridad del código JavaScript en el sitio, y no pueden esperar que los mensajeros instantáneos tengan la misma protección contra vulnerabilidades que los navegadores modernos.
Los piratas informáticos pueden ejecutar cualquier código JavaScript en los servidores de Instagram.
Haj Bakri y Mysk informaron sus hallazgos a Facebook, pero la compañía dijo que ambas aplicaciones funcionaban como se esperaba. A LinkedIn le fue un poco mejor. La única diferencia era que en lugar de copiar archivos de cualquier tamaño, solo copiaba los primeros 50 megas.
Mientras tanto, cuando la aplicación Line abre el mensaje encriptado y encuentra el enlace, lo envía al servidor de la empresa para generar una vista previa.
“Creemos que esto anula el propósito del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación y quién pasa qué enlaces a quién", escribieron los investigadores.
Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan la cantidad de datos entre 15 MB y 50 MB. La siguiente tabla proporciona una comparación de cada aplicación incluida en el estudio.
En general, el estudio es una buena noticia, ya que muestra que la mayoría de las aplicaciones de mensajería funcionan correctamente. Por ejemplo, Signal, Threema, TikTok y WeChat brindan a los usuarios la opción de no obtener vistas previas de enlaces. Para mensajes realmente sensibles y usuarios que quieren la máxima privacidad, estas son las mejores opciones. Después de todo, incluso si hay una vista previa, estas aplicaciones utilizan medios relativamente seguros para representarlas. Desafortunadamente, Tommy y Hajj no incluyeron Telegram en su estudio.