Tus impuestos mantienen un acortador de URLs oficial… pero el Gobierno de España prefiere utilizar uno inseguro de terceros

Run
5 comentarios Facebook Twitter Flipboard E-mail

Desde hace 10 años y medio, la Administración Central del Estado cuenta con un servicio online llamado 'RUN' (run.gob.es), acrónimo de 'Reductor de URLs Normalizado'. RUN cumple la misma función que cualquier recortador de URLs: ofrecer direcciones web breves y fáciles de compartir y, de paso, permitir a quienes cuelgan los enlaces contar con estadísticas de uso de los mismos:

"Se dispone de un backend de gestión donde los usuarios, mediante el uso del certificado digital, accede a las URLs de su grupo, donde podrá editar las descripciones, las direcciones cortas y largas, y además, efectuar comparativas de clics entre las URLs de su grupo".

Según el portal de la Administración Electrónica, el organismo responsable de su desarrollo es el Ministerio de Asuntos Económicos y Transformación Digital. Sin embargo, quizá el esfuerzo dedicado a mantenerlo no esté resultando muy rentable, habida cuenta de que ni siquiera este organismo hace uso de dicho acortador de URLs.

Lo ha denunciado hoy Jaime Gómez-Obregón, un hacker y activista online en pro de la administración digital y los datos abiertos —y viejo conocido de nuestros lectores—, tras observar que la cuenta de Twitter @_minecogob hacía uso en uno de sus últimos tuits de un servicio de acortamiento de URLs diferente: acortar.link.

Un vistazo a…
Cómo solicitar el CERTIFICADO DIGITAL de PERSONA FÍSICA de la FNMT


'¿Qué más dará qué acortador usemos?', diréis. Y sí que da

¿Y qué es 'acortar.link'? Pues otro acortador de URLs, éste teóricamente privado. Y decimos 'teóricamente' porque, pese a contar con una sección de 'Política de Privacidad' en su web, defienden tan pero que tan bien su privacidad que son anónimos: no hay ni una sola referencia a qué empresa o entidad gestiona y posee esta web.

Más aún, sólo revela en qué software de acortamiento de URLs se basa: y la respuesta es Polr, un proyecto que lleva dos años sin actualizarse, si bien un vistazo detallado a su repositorio permite apreciar dicha actualización fue menor y que la mayoría de los componentes llevan mucho más tiempo sin recibir cambios, con los problemas que eso puede provocar a nivel de seguridad.

¿Y por qué es importante la seguridad de un mero y sencillo acortador de URLs? Fácil: porque, como recuerda Gómez-Obregón,

"un acortador de direcciones recibe necesariamente la dirección IP del usuario, que es un dato personal protegido por el RGPD y la LOPDGDD, según la AEPD".

Pensemos por un momento qué pasaría si un tercero ajeno a la Administración tuviera un listado de las IPs que acceden a la sección de solicitud de ayudas para determinados colectivos vulnerables. Por ejemplo.

Tampoco es que RUN ofrezca una sensación de seguridad mucho mayor, pues donde debería haber un subdominio de referencia para saber que los enlaces que recoge la plataforma son legítimos, nos encontramos con uno que todavía distribuye enlaces HTTP (no seguros), que aquí nos hemos hartado de advertir que suelen ser indicativos de phishing.

Como curiosidad, te traemos el primer enlace a run.gob.es colgado en Twitter. Ya entonces parece que la cosa no empezó con muy buen pie:

En Genbeta | La oposición pidió al Gobierno vasco detalles de contratos, y recibió un PDF inservible: un hacker se ha ofrecido a extraer los datos

Comentarios cerrados
Inicio