{"id":6803,"date":"2020-10-27T23:08:42","date_gmt":"2020-10-27T23:08:42","guid":{"rendered":"https:\/\/streamexico.com\/?p=6803"},"modified":"2020-10-27T23:08:55","modified_gmt":"2020-10-27T23:08:55","slug":"enviar-un-link-por-facebook-messenger-o-instagram-puede-ser-riesgoso-para-la-privacidad","status":"publish","type":"post","link":"https:\/\/streamexico.com\/home\/enviar-un-link-por-facebook-messenger-o-instagram-puede-ser-riesgoso-para-la-privacidad\/","title":{"rendered":"Enviar un link por Facebook Messenger o Instagram puede ser riesgoso para la privacidad"},"content":{"rendered":"

Las vistas previas de enlaces en los chats pueden generar problemas de privacidad como la filtraci\u00f3n de direcci\u00f3n IP, la descarga de datos en segundo plano y la exposici\u00f3n de informaci\u00f3n, seg\u00fan una reciente investigaci\u00f3n<\/h2>\n

\"La<\/p>\n

La investigaci\u00f3n mostr\u00f3 que la vista previa de enlaces que muestran algunas apps conlleva un potencial riesgo para los usuarios (Foto: Especial)<\/p>\n

Las vistas previas de enlaces o links en las aplicaciones de chat pueden vulnerar la privacidad y seguridad de los usuarios<\/b>, seg\u00fan concluyeron los especialistas en sistemas Talal Haj Bakry y Tommy Mysk tras una investigaci\u00f3n publicada recientemente. Esta vulnerabilidad est\u00e1 presente en varios sistemas de mensajer\u00eda, pero los m\u00e1s populares que la sufren son Facebook Messenger e Instagram.<\/b><\/mark><\/p>\n

\u201cRepasaremos algunos de los errores que encontramos al investigar c\u00f3mo se implementa esta funci\u00f3n en las aplicaciones de chat m\u00e1s populares en iOS y Android<\/b>\u201d, se lee al comienzo del informe donde se detalla c\u00f3mo diferentes formas de mostrar esos links pueden <\/b>propiciar la filtraci\u00f3n de direcciones IP, exponer enlaces enviados en chats con cifrado de extremo a extremo o descargar datos en segundo plano, sin que el usuario lo sepa.<\/b><\/mark><\/p>\n

No es la primera vez que estos investigadores eval\u00faan la seguridad de aplicaciones<\/b>. De hecho descubrieron que TikTok <\/b>estuvo leyendo los portapapeles de los usuarios de Apple<\/b>. Ya en febrero hab\u00edan develado que cualquier dato que se copiara al portapapeles en un dispositivo iOS pod\u00eda ser le\u00eddo por cualquier aplicaci\u00f3n que estuviera activa.<\/b><\/p>\n

Qu\u00e9 son y c\u00f3mo se crean las vistas previas de links<\/b><\/mark><\/p>\n

Cuando se env\u00eda un enlace a un art\u00edculo, foto, video, acceso a descarga o cualquier otro contenido online<\/b>, el destinatario del mensaje ver\u00e1, en muchos casos, una vista previa<\/b> de ese material. Esto requiere que el enlace vaya a alg\u00fan sitio, por ejemplo un servidor<\/b>, para que \u00e9ste luego devuelva la vista previa que se ver\u00e1 en la app de mensajer\u00eda del destinatario.<\/p>\n

El punto en cuesti\u00f3n es c\u00f3mo es se articula ese circuito que permite generar la vista previa. Porque si no se cuida la manera en que se realiza, se podr\u00edan exponer los datos privados de los usuarios, ya que el contenido podr\u00eda descargarse en los servidores de la plataforma.<\/b><\/mark><\/p>\n

\"As\u00edAs\u00ed es la vista previa de un enlace que se comparte por un chat<\/picture><\/p>\n

\n
<\/div>\n<\/div>\n

En esta investigaci\u00f3n, publicada el 25 de octubre, Bakry y Mysk hicieron un detalle exhaustivo de varias apps populares donde mencionan que tanto <\/b>Facebook Messenger <\/b><\/mark>como<\/b> Instagram<\/b><\/mark> se destacaron porque para mostrar la vista previa de los links, las apps descargan en sus servidores el contenido,<\/b> con lo cual terminan teniendo un potencial acceso a ese contenido.<\/p>\n

Si bien no son las \u00fanicas plataformas que hacen esto para poder mostrar el preview, lo cierto es que, a diferencia de otras, descargan en sus servidores el contenido completo<\/b>, en el caso de que se trate de fotos o videos, e incluso archivos de varios gigabytes de peso.<\/p>\n

\n
<\/div>\n<\/div>\n

\u201cTodav\u00eda no nos queda claro por qu\u00e9 los servidores de Facebook har\u00edan esto cuando todas las dem\u00e1s aplicaciones ponen un l\u00edmite a la cantidad de datos que se descargan\u201d, se menciona en la investigaci\u00f3n<\/b><\/a>.<\/p>\n

Lo ideal, para cuidar la seguridad de los usuarios al menos en relaci\u00f3n a este \u00edtem, ser\u00eda que las aplicaciones no generen una vista previa del enlace enviado<\/b>. Simplemente deber\u00edan mostrar el link tal como se env\u00edo ya que en este caso la app no har\u00e1 ninguna acci\u00f3n salvo que el usuario toque ese link y decida ser redirigido al contenido correspondiente. Las aplicaciones analizadas por los investigadores que siguen este enfoque son Signal, Threema, Tik Tok y WeChat.<\/b><\/p>\n

\n
<\/div>\n<\/div>\n

Las diferentes formas de generar una vista previa y los riesgos que implican<\/b><\/mark><\/p>\n

Los investigadores analizaron otro enfoque que emplean algunas apps para mostrar enlaces de forma previa y que, a su parecer, es una opci\u00f3n segura.<\/b> Se trata de las apps iMessage, Viber, WhatsApp y Signal <\/b>(cuando se opta por esta opci\u00f3n en el men\u00fa de ajustes) que cuando se env\u00eda un link, la app descarga lo que hay en el enlace, crea un resumen y una imagen de vista previa del sitio web, el cual es enviado como un archivo adjunto junto con el enlace. Cuando la aplicaci\u00f3n en el extremo receptor recibe el mensaje, mostrar\u00e1 la vista previa tal como la recibi\u00f3 el remitente sin tener que abrir el enlace. De este modo, el receptor estar\u00eda protegido en caso de que el link sea malicioso.<\/b><\/p>\n

\"EnEn algunos casos se podr\u00eda filtrar la direcci\u00f3n IP del usuario o los datos compartidos en caso de que el servidor fuera v\u00edctima de un ataque (Foto: Flickr)<\/picture><\/p>\n

\n
<\/div>\n<\/div>\n

Cuando se puede filtrar la direcci\u00f3n IP<\/b><\/mark><\/p>\n

Hay un enfoque que los investigadores catalogan como especialmente peligroso y es que cuando el destinatario recibe un link, la app abre ese enlace autom\u00e1ticamente<\/b> (incluso antes de que se toque el link) para crear una vista previa. Para hacer esto, la app debe conectarse al servidor que lleva al link y preguntar qu\u00e9 hay en ese enlace.<\/p>\n

\n
<\/div>\n<\/div>\n

Cuando eso ocurre, el servidor accede a la direcci\u00f3n IP del tel\u00e9fono del usuario<\/b>, un dato que podr\u00eda caer en manos de un atacante para saber la ubicaci\u00f3n precisa <\/b>de esa persona. En el informe se detalla que se encontr\u00f3 esta vulnerabilidad en dos apps, cuyos nombres no se mencionan, que fueron alertadas sobre el tema y ya est\u00e1n trabajando para resolver la situaci\u00f3n.<\/p>\n

El riesgo de que los datos queden almacenados en servidores<\/b><\/mark><\/p>\n

Hay otras aplicaciones que toman un enfoque intermedio <\/b>entre los mencionados previamente. La plataforma env\u00eda el link a un servidor externo y le pide que genere una vista previa. Luego el servidor enviar\u00e1 la vista previa al emisor y al destinatario.<\/b><\/p>\n

En principio esto parece adecuado porque ni el receptor ni el emisor abren el link y por lo tanto se evita el problema de la filtraci\u00f3n de IP sin embargo, seg\u00fan advierten los investigadores, hay otros<\/b> problemas.<\/p>\n

\u201cSupongamos que est\u00e1 enviando un enlace privado de Dropbox <\/b>a alguien y no quiere que nadie m\u00e1s vea su contenido. Con este enfoque, el servidor deber\u00e1 hacer una copia (o al menos una copia parcial) de lo que est\u00e1 en el enlace para generar la vista previa. Ahora la pregunta es: \u00bfel servidor conserva esa copia? Si es as\u00ed, \u00bfcu\u00e1nto tiempo se conserva? \u00bfQu\u00e9 m\u00e1s hacen estos servidores con estos datos?<\/b><\/mark> Este enfoque no deber\u00eda funcionar para aplicaciones que usan cifrado de extremo a extremo, donde ning\u00fan servidor entre el remitente y el receptor deber\u00eda poder ver lo que hay en el chat (al menos en teor\u00eda, de todos modos)\u201d, se menciona en el texto.<\/p>\n

Las aplicaciones que emplean este tipo de enfoque son <\/b>Discord, Hangouts, Line, LinkedIn, Slack, Twitter, Zoom, Facebook e Instagram<\/b><\/mark>. Los links que se comparten en chats pueden tener informaci\u00f3n privada que s\u00f3lo se desea que vea el destinatario final. Puede haber contratos<\/b>, facturas<\/b>, estudios m\u00e9dicos<\/b>. Las aplicaciones que emplean el m\u00e9todo mencionado para crear vistas previas podr\u00edan afectar la privacidad de los usuarios al enviar links compartidos en un chat a sus servidores.<\/p>\n

\"LosLos investigadores destacan que los desarrolladores de aplicaciones deben siempre considerar las implicancias de seguridad y privacidad que entran en juego cada vez que se genera una funci\u00f3n (EFE \/Kay Nietfeld \/Archivo)<\/picture><\/p>\n

\u201cAunque la aplicaci\u00f3n conf\u00eda en estos servidores, los usuarios no tienen ninguna indicaci\u00f3n de que los servidores est\u00e9n descargando lo que encuentren en un enlace. \u00bfLos servidores est\u00e1n descargando archivos completos o solo una peque\u00f1a cantidad para mostrar la vista previa? Si est\u00e1n descargando archivos completos, \u00bfguardan los servidores una copia y, de ser as\u00ed, por cu\u00e1nto tiempo? \u00bfSe almacenan estas copias de forma segura o las personas que administran los servidores pueden acceder a las copias?<\/b> Adem\u00e1s, algunos pa\u00edses tienen restricciones sobre d\u00f3nde se pueden recopilar y almacenar los datos del usuario, sobre todo en la Uni\u00f3n Europea, seg\u00fan lo exige el GDPR\u201d, analizan los investigadores.<\/p>\n

Todas las apps mencionadas dos p\u00e1rrafos antes, salvo Instagram y Facebook Messenger, descargan entre un 15 MB y un 50 MB de datos de los archivos para generar la vista previa. <\/b>Instagram y Facebook Menssenger, como se explic\u00f3 anteriormente, no tienen ese l\u00edmite y no queda claro por qu\u00e9 necesitan descargar vol\u00famenes mayores para realizar la tarea de mostrar un enlace previa.<\/b><\/mark><\/p>\n

Los servidores de Facebook Messenger e Instagram, ambos propiedad de Facebook, fueron los \u00fanicos que no pusieron l\u00edmite a la cantidad de datos que se descargan. <\/b>Para probar esto, los investigadores alojaron un archivo de 2.6 GB en su servidor y enviaron un enlace a ese archivo a trav\u00e9s de un mensaje directo de Instagram.<\/p>\n

En el momento en que se envi\u00f3 el link , varios servidores de Facebook inmediatamente comenzaron a descargar el archivo del servidor de los investigadores. \u201cComo no se trataba de un solo servidor, ese archivo de 2,6 GB se descarg\u00f3 varias veces. En total, los servidores de Facebook descargaron aproximadamente 24,7 GB de datos de nuestro servidor\u201d, explican en su publicaci\u00f3n.<\/p>\n

De todos modos, los investigadores recalcan que incluso un l\u00edmite bajo de descarga como puede ser 15 MB cubre la mayor\u00eda de los archivos que usualmente se comparten por chat.<\/b> De ah\u00ed que si los servidores guardan copias podr\u00eda ser un riesgo para los usuarios en caso de que eventualmente esos servidores sean afectados en su seguridad.<\/p>\n

En el caso de Slack, por ejemplo, confirmaron que solo almacenan en cach\u00e9 las vistas previas de enlaces durante unos 30 minutos.<\/b><\/p>\n

Por otra parte, los investigadores encontraron particularmente preocupante el caso de Line<\/b>, una app de mensajer\u00eda privada con cifrado de punta a punta. Seg\u00fan analizaron en su informe, cuando la app abre un mensaje cifrado y encuentra un link, lo env\u00eda un servidor para generar una vista previa. Line fue advertido sobre esto pero continuar\u00e1 con su pr\u00e1ctica. De todos modos, actualiz\u00f3 su secci\u00f3n de preguntas frecuentes para incluir este dato que el usuario sepa c\u00f3mo deshabilitar la vista previa de enlaces, si as\u00ed lo desea.<\/b><\/p>\n

\u00bfQu\u00e9 conclusiones se saca sobre este tema? Los investigadores destacan que los desarrolladores de aplicaciones deben siempre considerar las implicancias de seguridad <\/b>y privacidad <\/b>que entran en juego cada vez que se genera una funci\u00f3n. Algo tan sencillo como producir la vista previa de un link puede exponer informaci\u00f3n privada si no se plantea de forma segura.<\/b><\/mark><\/p>\n

[infobae.com]<\/p>\n","protected":false},"excerpt":{"rendered":"

Las vistas previas de enlaces en los chats pueden generar problemas de privacidad como la filtraci\u00f3n de direcci\u00f3n IP, la descarga de datos en segundo plano y la exposici\u00f3n de informaci\u00f3n, seg\u00fan una reciente investigaci\u00f3n La investigaci\u00f3n mostr\u00f3 que la vista previa de enlaces que…<\/p>\n","protected":false},"author":1,"featured_media":6804,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[22],"tags":[],"_links":{"self":[{"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/posts\/6803"}],"collection":[{"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/comments?post=6803"}],"version-history":[{"count":2,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/posts\/6803\/revisions"}],"predecessor-version":[{"id":6806,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/posts\/6803\/revisions\/6806"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/media\/6804"}],"wp:attachment":[{"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/media?parent=6803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/categories?post=6803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/streamexico.com\/home\/wp-json\/wp\/v2\/tags?post=6803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}