Desde hace 10 años y medio, la Administración Central del Estado cuenta con un servicio online llamado 'RUN' (run.gob.es), acrónimo de 'Reductor de URLs Normalizado'. RUN cumple la misma función que cualquier recortador de URLs: ofrecer direcciones web breves y fáciles de compartir y, de paso, permitir a quienes cuelgan los enlaces contar con estadísticas de uso de los mismos:
"Se dispone de un backend de gestión donde los usuarios, mediante el uso del certificado digital, accede a las URLs de su grupo, donde podrá editar las descripciones, las direcciones cortas y largas, y además, efectuar comparativas de clics entre las URLs de su grupo".
Según el portal de la Administración Electrónica, el organismo responsable de su desarrollo es el Ministerio de Asuntos Económicos y Transformación Digital. Sin embargo, quizá el esfuerzo dedicado a mantenerlo no esté resultando muy rentable, habida cuenta de que ni siquiera este organismo hace uso de dicho acortador de URLs.
Lo ha denunciado hoy Jaime Gómez-Obregón, un hacker y activista online en pro de la administración digital y los datos abiertos —y viejo conocido de nuestros lectores—, tras observar que la cuenta de Twitter @_minecogob hacía uso en uno de sus últimos tuits de un servicio de acortamiento de URLs diferente: acortar.link.
👋 ¡Hola @_minecogob!
— Jaime Gómez-Obregón (@JaimeObregon) June 19, 2023
¿Por qué utilizáis soluciones de terceros no identificados y de dudosa seguridad en lugar de emplear la propias herramientas que vosotros mismos habéis construido para esa misma finalidad con el dinero de todos? 🤷https://t.co/HCvcPfE5bi pic.twitter.com/QVVyqEaOXt
'¿Qué más dará qué acortador usemos?', diréis. Y sí que da
¿Y qué es 'acortar.link'? Pues otro acortador de URLs, éste teóricamente privado. Y decimos 'teóricamente' porque, pese a contar con una sección de 'Política de Privacidad' en su web, defienden tan pero que tan bien su privacidad que son anónimos: no hay ni una sola referencia a qué empresa o entidad gestiona y posee esta web.
Más aún, sólo revela en qué software de acortamiento de URLs se basa: y la respuesta es Polr, un proyecto que lleva dos años sin actualizarse, si bien un vistazo detallado a su repositorio permite apreciar dicha actualización fue menor y que la mayoría de los componentes llevan mucho más tiempo sin recibir cambios, con los problemas que eso puede provocar a nivel de seguridad.
¿Y por qué es importante la seguridad de un mero y sencillo acortador de URLs? Fácil: porque, como recuerda Gómez-Obregón,
"un acortador de direcciones recibe necesariamente la dirección IP del usuario, que es un dato personal protegido por el RGPD y la LOPDGDD, según la AEPD".
Parece que cada ministerio utiliza un acortador distinto, pero ninguno utiliza… ¡el del Ministerio!
— Jaime Gómez-Obregón (@JaimeObregon) June 19, 2023
(Nótese que un acortador de direcciones recibe necesariamente la dirección IP del usuario, que es un dato personal protegido por el RGPD y la LOPDGDD, según la AEPD…) pic.twitter.com/Iyo2N5eP6L
Pensemos por un momento qué pasaría si un tercero ajeno a la Administración tuviera un listado de las IPs que acceden a la sección de solicitud de ayudas para determinados colectivos vulnerables. Por ejemplo.
Tampoco es que RUN ofrezca una sensación de seguridad mucho mayor, pues donde debería haber un subdominio de referencia para saber que los enlaces que recoge la plataforma son legítimos, nos encontramos con uno que todavía distribuye enlaces HTTP (no seguros), que aquí nos hemos hartado de advertir que suelen ser indicativos de phishing.
Y yo añadiría que llega como http://, no https://, al menos en los SMS. Para los viejunos que tenemos grabado a fuego lo de "No abras direcciones sin candadito", todo un disparador de la desconfianza.
— Tino Güemes (@tinoguemes) June 19, 2023
Como curiosidad, te traemos el primer enlace a run.gob.es colgado en Twitter. Ya entonces parece que la cosa no empezó con muy buen pie:
Ver 5 comentarios