Comencemos el artículo con un pequeño experimento. Echa un vistazo a las dos URLs siguientes, y responde, ¿a qué dominio dirigen?

Si has pensado 'Fácil, a bbc.com', tienes razón a medias: la primera URL conduce a ese dominio… ¿la segunda? Ni por asomo. Si estás confundido es porque, a pesar de que los usuarios de Internet nos pasamos el día clicando en URLs, en realidad sabemos poco sobre ellas.

El truco de la arroba

La cuestión es que, en realidad, todo lo que hay entre 'https://' y el símbolo de la arroba está siendo ignorado por el navegador. En origen, los dominios web podían tener una estructura similar a los e-mails, indicando un 'nombre de usuario' antes de la '@'.

En caso de usarlo, le estábamos diciendo al sitio web que nos logueara con dicho username. De hecho, podíamos usar la siguiente estructura para incluir la contraseña también en la URL:

http:// user:pass@website.com

En Genbeta

Por qué es importante esperar si te llega un enlace sospechoso: 1 de cada 3 webs de phishing desaparece durante sus primeras 24 h.

Sin embargo, hoy en día los navegadores modernos, por seguridad, evitan que sus usuarios puedan autenticarse accidentalmente con un solo clic en sitios web, por lo que ignoran todo lo que introduzcamos antes de la arroba y se limitan a dirigir al usuario a la parte de la URL que queda a la derecha de ésta.

Anatomía de una URL

Es posible que a estas alturas hayas visto un par de posibles fallos en el ejemplo que pusimos al comienzo del artículo. Los abordaremos luego, ahora vamos a repasar todas las partes de que puede componerse una URL:

Gráfico basado en original extraído del paper 'Equivocal URLs: Understanding the Fragmented Space of URL Parser Implementations'

• Protocolo: Indica al navegador cómo debe conectarse al servidor. No es lo mismo "http://" que su versión segura ("https://") —aunque ambas se conectan a páginas web—, o que "mailto://" (para direcciones de e-mail), "ftp://", "gopher://", etc. Uso obligatorio, aunque los navegadores ya no siempre lo muestran.
• Información de login: Ya explicado más arriba, podemos indicar sólo el nombre de usuario o incluir también la contraseña. Uso opcional y cada vez menos frecuente.
• Dominio: Es el eje en torno al cual gira una URL, le dice al navegador a qué máquina de Internet conectarse (con la ayuda de las DNS). Uso obligatorio. En algunos casos puede aparecer dividido por un punto, indicando un 'subdominio' (1ercurso.colegio.es).
• Puerto: Cada protocolo tiene un puerto o puertos vinculados por defecto, pero en algunos casos podemos querer indicar al navegador que se conecte, por ejemplo, a un servidor web secundario instalado en la misma máquina que otro: en esos casos, lo habitual es recurrir a especificar un puerto distinto. Uso opcional.
• Ruta: Cuando no queremos acceder a la página principal, sino a un subdirectorio de sitio web. Uso opcional, pero muy frecuente.
• Parámetro: También conocido como 'query', describimos aquí con detalle sus múltiples usos.
• Fragment: Para indicar al navegador que no muestre la página deseada desde el principio, sino que se localice en un punto concreto de dicha página.

En Genbeta

No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas

"¡Pero no existen dominios con extensiones de archivo!" (Sí lo hacen)

Volviendo al ejemplo que pusimos al principio, ya puedes deducir que, al contrario que la primera URL mencionada, la segunda no nos conduce a un archivo ZIP en el servidor de la BBC, sino —recuerda lo que dijimos sobre el uso de la '@'— al dominio 'informeonu23.zip'.

Si estás pensando que los '.zip' no son extensiones de dominio válidas, estás desactualizado. Y es que este mismo mes Google ha lanzado al mercado 8 nuevas extensiones de dominio:

• .dad
• .phd
• .prof
• .esq
• .foo
• .zip
• .mov
• .nexus

Como puedes ver, las extensiones .zip (de archivos comprimidos) y .mov (de películas) están ahí. Y ya de antes existían las .sh (dominio territorial de Santa Helena, coincidente con los scripts de Bash), .pl (dominio territorial de Polonia, coincidente con los ficheros de Perl) y .rs (dominio territorial de Serbia, coincidente con los ficheros de Rust).

Imagina que un ciberdelincuente hubiera contratado el dominio .zip del ejemplo y que los usuarios, al acceder al mismo desde un enlace malicioso como aquel, efectivamente se descargasen un archivo ZIP que, obviamente, nada tiene que ver con la BBC: podría ser una fuente de malware.

Y ahora imagina si ocurriera lo mismo… pero usando un repositorio oficial de GitHub antes de la '@'.

En Xataka

Qué hay detrás realmente de .xyz, los dominios que quieren ser los .com del futuro y triunfan entre scammers y web3

"¡Eh, las '/' no se pueden usar en nombres de usuario!" (Es cierto, no se puede, pero…)

Si las '/' que usamos para formar URLs no pudieran incluirse en nombres de usuario (como tampoco se pueden incluir, y por las mismas razones, en nombres de archivo), el ejemplo de URL maliciosa que pusimos no sería válido, pues saltaría un error. ¿Significa que has leído todo esto para nada?

No. Porque si bien no podemos usar /, sí podemos usar (y, de hecho, es lo que hemos usado) el símbolo  ∕ . Prácticamente indistinguible, ¿verdad? Son las trampas de los símbolos ASCII, qué le vamos a hacer.

Por eso debemos tener mucho cuidado con esta potencial estafa, que aún no ha sido detectada siendo usada por ciberestafadores, pero que sin duda empezaremos a ver en breve, ahora que cualquiera puede registrar los nuevos dominios .ZIP.

Vía | Bobbyr en Medium

Imagen | Daniel en Pixabay + Miguel Á. Padriñán en Pixabay

En Genbeta | Alojamientos web: qué son y cuántas clases existen

Llamamos 'Traffic Direction System' (TDS) a una técnica, usada habitualmente en el ámbito del marketing online, que permite redirigir al usuario un destino web personalizado con base a algún criterio predefinido, como la página de origen (que venga o no de un buscador, por ejemplo), el país de residencia del usuario, el navegador usado, etc (en ocasiones el criterio es meramente aleatorio, en el marco de un test A/B).

Sin embargo, en ocasiones los TDS son empleados con fines maliciosos, y pueden utilizarse —por ejemplo— para crear una trampa en la que un script decide, según las instrucciones de su desarrollador, si mostrar una página web legítima o bien redirigir al usuario a contenido malicioso controlado por el ciberdelincuente.

Parrot TDS, el último grito en esta clase de ciberataques

Ahora, los investigadores de amenazas de Avast (compañía desarrolladora del software antivirus homónimo) han dado la voz de alarma tras descubrir un nuevo Traffic Direction System malicioso, al que ha bautizado como Parrot TDS, que ya habría infectado varios servidores web que alojan en total más de 16.500 sitios web de todo tipo, desde pornografía a portales institucionales, pasando por meras webs personales.

Según Avast, a lo largo de marzo su antivirus ha protegido "a más de 600.000 usuarios únicos de todo el mundo que visitaron sitios infectados con Parrot TDS".

En Genbeta

Phishing: qué es y diferentes tipos que existen

La infección de las webs por este TDS altera lo que visualiza el usuario al acceder a la web: en lugar del contenido habitual, se muestra una página que afirma que el usuario necesita actualizar su navegador descargando un archivo (todo ello, con base a criterios configurables por el atacante, que supone que el script tenga acceso a las cookies y al historial de su navegador).

Así, cuando el usuario muerde el anzuelo y ejecuta dicho fichero 'de actualización', lo que ocurre es que se descarga una herramienta de acceso remoto (RAT) que da a los atacantes pleno acceso al ordenador de la víctima. Según Jan Rubin, investigador de malware de Avast, los TDS "sirven como puerta de entrada para la distribución de varias campañas maliciosas a través de los sitios infectados":

"Actualmente se está distribuyendo a través de Parrot TDS una campaña maliciosa llamada 'FakeUpdate' (también conocida como SocGholish), al igual que otras actividades maliciosas podrían llevarse a cabo a través de este TDS en el futuro".

Rubin y su colega Pavel Novak consideran que los atacantes están explotando los servidores web de sistemas de gestión de contenidos (CMS) poco seguros —como los muy populares WordPress y Joomla— entrando en cuentas con credenciales débiles para obtener acceso de administrador a los servidores.

"Lo único que tienen en común los distintos sitios es que son páginas de WordPress y, en algunos casos, de Joomla. Por lo tanto, sospechamos que se han aprovechado de credenciales de inicio de sesión débiles para infectar las webs con código malicioso".

¿Cómo pueden proteger sus webs los administradores?

• Analizar todos los archivos del servidor web con un programa antivirus.
• Reemplazar todos los archivos JavaScript y PHP del servidor web con los archivos originales que deberían estar presentes.
• Utilizar la última versión del CMS y de los plugins instalados, y recurrir a los plugins de seguridad disponibles.
• Comprobar si hay tareas que se ejecutan automáticamente en el servidor web (por ejemplo, trabajos cron).
• Comprobar la seguridad de las credenciales y actualizarlas si no es así (asegurándose de que sean únicas para cada plataforma).
• Cuando corresponda, configurar 2FA para todas las cuentas de administración del servidor web.

En mayo de 2017 el gobierno egipcio ordenó el bloqueo de 21 medios de comunicación online, entre los que se encontraban Al-Jazeera, Al-Sharq, Mada Masr, el Huffington Post en árabe, y varios sitios de noticias y periodismo de investigación independientes, porque según las autoridades "publicaban contenido que apoyaba el terrorismo, extremismo y esparcían mentiras deliberadamente".

Hoy, un nuevo reporte expone varias anomalías detectadas en las redes egipcias, no solo relacionadas con la censura, sino con el secuestro de conexiones HTTP no cifradas para inyectar publicidad o scripts de minado de criptomonedas, incluso en el sitio web de las Naciones Unidas.

El reporte fue publicado en conjunto entre la Asociación para la Libertad de Pensamiento y Expresión de Egipto (AFTE) y OONI, un proyecto de Tor que viene monitorizando desde el 2012 las redes a nivel mundial para detectar censura, vigilancia y manipulación del tráfico online.

Gracias a la información recolectada por ambas organizaciones entre enero de 2017 y mayo de 2018, sabemos que la censura se expandió a cientos de sitios web más allá de los medios, y de hecho, unas 1.000 URLs presentaron errores de conexión HTTP de forma regular, lo que sugiere que estaban siendo bloqueados. Además de esto, la gigantesca mayoría eran sitios de noticias, sitios para saltarse la censura, webs de derechos humanos, o contenido político.

Categorías de los sitios web bloqueados en Egipto. 62% noticias, 24% evitar bloqueos, 6% derechos humanos, 5% políticos, 2% otros

La importancia de HTTPS

Uno de los hallazgos más interesantes quizás, tiene que ver con la campaña de adware que la empresa de telecomunicaciones del estado en Egipto estaba llevando a cabo. OONI descubrió que en 2016, este ISP estaba secuestrando las conexiones HTTP no cifradas de los usuarios para inyectar cosas como anuncios de afiliados.

The Citizen Lab expandió esta investigación e identificó que al menos 17 proveedores de servicios de Internet egipcios estaban haciendo lo mismo. Y este último año muestran que el secuestro de las conexiones también incluyen inyección de scripts para minar criptomonedas.

Las URLs afectas incluyen todo tipo de sitios, como La Sociedad Palestina de Prisioneros, La Iniciativa de las Mujeres para la Justicia de Género, sitios web LGBTQI, webs de VPN, y sitios israelíes. Incluso dominios de las Naciones Unidas como un.org y ohchr.org estaban afectados por las redirecciones.

Esta práctica deja en evidencia que algunos gobiernos van más allá y aprovechan la censura para hacer un dinerito extra, y deja también claro la importancia de las conexiones HTTPS, y como asegurar las conexiones es más importante que nunca, el uso de conexiones HTTP no cifradas en los sitios web permiten este tipo de redirecciones maliciosas cuando un usuario intenta acceder a una página leígitima.

Vía | Tor Project
En Genbeta | HTTPS para combatir la censura: así lo ha hecho Wikipedia

Donald Hanson es un desarrollador web y artista que ama mezclar la tecnología con las artes. Su última idea es una realmente interesante, y aunque es el sitio web más simple y escueto que puedas imaginar, tiene una característica bastante única que nos invita a considerarlo como ¿arte?

La web en cuestión es Permanent Redirect, aunque ese enlace ya no va a funcionar cuando hagas click sobre él, pues la URL, como su nombre lo indica, se mueve de forma permanente cada vez que alguien la visita.

Personalmente no he logrado llegar a la página a pesar de haber visitado unas cien redirecciones. Cada dirección en la que he hecho click es otra redirección a la siguiente, y a la siguiente, y a la siguiente. Todas se generaron cuando alguien más logró visitar el sitio y automáticamente expiran para cualquier otro usuario.

Cuando leí sobre esta web en The Outline ya se había movido casi 6.000 veces, el número en este momento sobrepasa las 26.000 redirecciones. Probablemente sea mucho mayor cuando leas este artículo.

Es un juego del gato y el ratón en la que el ratón cambia de lugar cuando alguien más lo atrapa por unos segundos. El ratón nunca está en el mismo sitio para dos personas.

Una pieza de arte de la red

I created an net art piece that moves to a new URL whenever someone views it. It is not possible to link to the art piece. Over time the art piece will become very hard to view. This is an experiment in introducing artificial scarcity into digital work.https://t.co/L3FZ2lJDKE

— Donald Hanson (@donald_hans0n) 6 de enero de 2018

Hanson llama a su web "una pieza de arte de la red". Una pieza de arte que se mueve a una nueva dirección cada vez que alguien la ve.

No es posible enlazar a la pieza en cuestión, y con el tiempo será cada vez más difícil de ver. Es un experimento sobre la introducción de escasez artificial en el mundo digital.

Si logras encontrar la web esta te mostrará un mensaje en el que te dice que eres muy especial. Hay que ser muy especial para continuar haciendo clicks en cada redirección con la esperanza de que alguno te lleve a esa URL única que solo podrá ser visitada por ti y nadie más.

Si la pieza de Hanson puede ser considerada arte o no, es algo que dejamos a vuestra interpretación, pues no hay nada más subjetivo. Lo que sin duda sí es, es un experimento llamativo y bastante creativo.

En Genbeta | En esta web encuentras tutoriales sobre diseño y desarrollo web para ayudarte a mejorar tu sitio

Dgo es un sistema de redirecciones basado en software libre y de nueva creación. Lleva poco tiempo en activo y presenta un conjunto de opciones interesante para aquellas URLs difíciles de recordar y que queramos agrupar en un espacio on-line, tipo del.icio.us pero sin tanta floritura, busca ser un servicio más sencillo y más directo de cara al usuario final.

Este nuevo servicio de redirecciones presenta interfaz en castellano, catalán e inglés y su principal misión es la de juntar un servicio para acortar urls y al mismo tiempo para agregar nuestros favoritos on-line.

Al registrarnos para usar el servicio, nuestro nombre de usuario hará las veces de subdominio de forma que obtendremos una dirección donde se guardarán nuestros enlaces del tipo: http://nombreusuario.dgospace/nombredeurlqueelijamos. Por ejemplo he creado el usuario weblogssl y tenemos allí todos nuestros blogs así, genbeta sería http://weblogssl.dgospace.com/genbeta El dominio dgospace puede ser intercambiado por dgomusic, dgogames u otros que obedezcan a cierta temática, es un nivel más de clasificación dentro del guardado de direcciones que nos proponen.

Podemos agregar tantas direcciones como deseemos, existen dos posibilidades de privacidad: marcar las direcciones como públicas (por defecto) o bien como privadas (no aparecerán en nuestro resumen ni tendremos feeds RSS a ellas para compratirlas). Otra cosa a destacar es la inclusión de una captura en cada redirección de esta manera podemos ver de un plumazo a dónde redirigen nuestros enlaces en dgo!

El servicio funciona bastante bien, la interfaz es bastante intuitiva y hay mucho ajax bastante bien diseñado. Lástima que todavía se echan en falta algunas opciones y se nota que les queda bastante camino por recorrer. No sustituye a del.icio.us, ni mucho menos, pero es una alternativa española, basada en estándares libres y a tener en cuenta.

¡Gracias Rubén!

Enlace | dgo! Enlace | ejemplo ilustrativo con los blogs de WSL Más información | bitelia

Un usuario de Twitter, como muchos de nosotros, harto de tener que usar dos aplicaciones, uno para acortar la url y otro, un cliente donde suele escribir sus tweets, ha creado Tweet’l.

Tweet´l no es ni más ni menos que una aplicación online que combina la creación de direcciones cortas partiendo de direcciones web largas junto con la posibilidad de enviarlas a su cuenta, introducciendo para ello su usuario y contraseña. Dicho de otra manera, unifica en una aplicación la opción de acortar direcciones y enviarlas directamente de manera opcional.

Este servicio es útil ya no sólo porque crear redirecciones de url mediante url cortas, sino porque además dispone de una serie de funcionalidades adicionales que permiten desde la descripción de los enlaces en los mismos, las previsualizaciones, estadísticas, y hasta un bookmarklet que permite generar urls cortas de las páginas que se están visualizando para poderlas enviar a Twitter.

Una solución ideal, sobre todo, para esos días en el que TinyURL esté caido o usemos un cliente de escritorio que no permite introducir urls largas.

Vía | Punto Geek Enlace | Tweet´l

Hasta la fecha ya hemos conocido aplicaciones online que nos permiten acortar direcciones largas por otras más cortas. El caso es que en muchas de ellas, simplemente creaban una numeración que en algunos casos también es dificil de memorizar, con lo que la dirección web no llega a ser del todo amigable.

Con DecentURL tendremos igualmente direcciones cortas pero más fáciles de recordar ya que son enlaces que dejan ver más claro el contenido de la web. Sólo tenemos que indicarle la url y de manera opcional el título deseado, aunque si lo dejamos en blanco, DecentURL lo captará automáticamente de la página en cuestión.

Finalmente nos mostrará una url, que si bien es algo más larga, también es más amigable ya que permite ser recordada con una mayor facilitad que una id númerica como nos ofrecen otros servicios.

Vía | Bitelia Enlace | DecentURL

Sorprendente la cantidad de servicios que nos permiten acortar nuestras direcciones largas. Una opción es instalarnos algunos de los scripts existentes en nuestro servidor, y la otra usar servicios gratuitos ya disponibles, y si se te ha quedado corta la colección, aquí vienen otros dos más:

• 301.es: Redireccionador español cuya principal característica es que hace uso de redireccionamientos 301, es decir, realizar un redireccionamiento real de manera que los buscadores obtengan la url original y no la url redireccionada. Basado inicialmente en el código fuente de Linko, 301 nos permite crear enlaces cortos que pueden ser permanentes o de duración determinada a lo indicado en la lista desplegable dentro de las funciones extras.

• Fupi URLs: Simple redireccionador de enlaces largos que nos crean enlaces cortos y con posibilidad de protegerlos por contraseña.

Interesante que estos servicios, en sus descripciones, tengan en cuenta a servicios como Twitter y Pownce, además del correo electrónico y foros, para ser usados.

Vía | Carrero | FeedMyApp

GTalk2Voip acaba de añadir una nueva característica a su servicio, llamada Follow-Me, que básicamente nos permite a los usuarios de este servicio redireccionar las llamadas que nos entren desde cualquier sistema de mensajería con soporte voip (MSN Messenger/Yahoo M!/Google Talk) poder redireccionarlas a cualquier número de teléfono convencional o a un teléfono SIP en el caso de no contestar a las llamadas en los primeros 20 segundos.

Para ello deberemos de tener saldo positivo en nuestra cuenta, configurar el número a redireccionar directamente desde el bot de Gtalk2Voip, y tener en cuenta que las redirecciones a teléfonos convencionales nos costarán dinero mientras que a números SIP serán gratis.

Para ello tenéis algo más de información desde la página de su anuncio.

Enlace | Más información sobre Follow-Me