Pareciera que navegar por Internet fuera cada vez menos seguro: a veces da la sensación de que cada clic que hacemos en una URL desconocida (de alguna aparente campaña de phising por email o, peor, de la enorme gama de acortadores de enlaces disponible hoy en guía) es como dar un paso en un campo de minas.

Ayuda, sin duda, contar con aplicaciones antimalware que protegen el equipo en tiempo real y bloquean la apertura de ciertas URLS. Pero ¿y pudiéramos avanzar sin dar pasos en falso, sabiendo con cierta seguridad que terminaremos en una dirección web fiable? Para eso se inventaron los verificadores de URLs. Te mostramos una selección de los más útiles:

Norton Safe Web

Norton es uno de los grandes nombres en el ámbito de la ciberseguridad, por lo que podemos confiar en su base de datos de amenazas permitirá descartar muchas de los potenciales amenazas que podríamos encontrar en nuestras sesiones de navegación. La ventaja es que el uso de Norton Safe Web es totalmente gratuito.

Tras introducir la URL de nuestro interés, nos indicará si ésta es segura, especificando tres indicadores: amenazas de malware, amenazas de identidad y 'factores de molestia', un término en el que se engloban malas prácticas por parte de los propietarios de la web, como intentar instalar software no deseado (aunque éste no sea malware). En algunos casos encontraremos también puntuaciones y comentarios elaborados por la comunidad de usuarios.

Website Reputation Checker de URLVoid

El Website Reputation Checker de URLVoid es una herramienta cuyo uso no se diferencia en nada del anterior, aunque sí lo hace la información que ofrece al usuario sobre la URL de nuestro interés.

En primer lugar, nos proporciona información sobre el registro del dominio y la localización del servidor, indicándonos si aparece en alguna de sus 40 'listas negras'. A continuación, se detalla la valoración de cada una de dichas listas, para que (si se diese el caso) pudiéramos saber en cuál aparece; todas ellas están vinculadas a empresas e instituciones de ciberseguridad (como Avira o el CERT-GIB).

Google Transparency Report

La tecnología Safe Browsing de Google examina millones de URLs al día buscando sitio potencialmente inseguros, lo que le permite mostrar avisos de advertencia en su buscador y en los navegadores web que usan su tecnología. Pero su Google Transparency Report también nos permite recurrir a dicha tecnología a demanda, indicándonos si el sitio es o no seguro, y cuándo fue la última vez que se verificó dicha URL.

En Genbeta

Los timos de phishing también pueden perpetrarse mediante apps móviles maliciosas. La próxima versión de Android solucionará eso

Sucuri Sitecheck

Sucuri no vive de proteger al usuario frente a webmasters desaprensivos, sino que es un servicio dirigido a proteger páginas webs frente a ciberataques (de inyección de código, DDoS, etc), especialmente popular entre los administradores de sitios basados en Wordpress.

Pero, además, de eso, mantienen una herramienta online gratuita, Sucuri SiteCheck, que no sólo permite verificar la seguridad de una URL (verificándola en 9 listas negras diferentes), sino que nos indica a qué otra URL redirige (muy útil cuando nos enfrentamos a acortadores de enlaces) y si esta última cuenta con versión HTTPS.

URLEX

URLEX (URL Expander) es una herramienta extraordinariamente sencilla: nos muestra una caja de texto en la que podremos introducir numerosas URLS acortadas a la vez, para que pueda mostrarnos a qué webs redirigen realmente. Nos proporciona, además, la opción de bajarnos los resultados en forma de fichero .csv.

PhishTank

PhishTank es un sitio web que se enfoca, ante todo, en alertar sobre sitios de phishing, proporcionando resultados instantáneos si el enlace ya está identificado en su base de datos, o bien proporcionando un número de seguimiento para nuevos enlaces sospechosos. Permite a los usuarios verificar las URLs introducidas por otros, así como desarrollar aplicaciones que hagan uso de su API.

Urlscan.io

Urlscan.io es otra herramienta de análisis y escaneo de sitios web, que proporciona información sobre los dominios e IPs con los que se conecta la web verificada al cargar, así como sobre las tecnologías que incluye (redes de publicidad web, librerías JavaScript...). Además, Urlscan.io es utilizado por muchos clientes empresariales y proyectos de código abierto, y ofrece una API para integrar estas comprobaciones en productos de terceros.

Imagen | Marcos Merino mediante IA

En Genbeta | "Advertencia: sitio sospechoso". Esta extensión de navegador te avisará cuando caigas en una web fraudulenta

Desde hace 10 años y medio, la Administración Central del Estado cuenta con un servicio online llamado 'RUN' (run.gob.es), acrónimo de 'Reductor de URLs Normalizado'. RUN cumple la misma función que cualquier recortador de URLs: ofrecer direcciones web breves y fáciles de compartir y, de paso, permitir a quienes cuelgan los enlaces contar con estadísticas de uso de los mismos:

"Se dispone de un backend de gestión donde los usuarios, mediante el uso del certificado digital, accede a las URLs de su grupo, donde podrá editar las descripciones, las direcciones cortas y largas, y además, efectuar comparativas de clics entre las URLs de su grupo".

Según el portal de la Administración Electrónica, el organismo responsable de su desarrollo es el Ministerio de Asuntos Económicos y Transformación Digital. Sin embargo, quizá el esfuerzo dedicado a mantenerlo no esté resultando muy rentable, habida cuenta de que ni siquiera este organismo hace uso de dicho acortador de URLs.

Lo ha denunciado hoy Jaime Gómez-Obregón, un hacker y activista online en pro de la administración digital y los datos abiertos —y viejo conocido de nuestros lectores—, tras observar que la cuenta de Twitter @_minecogob hacía uso en uno de sus últimos tuits de un servicio de acortamiento de URLs diferente: acortar.link.

👋 ¡Hola @_minecogob!

¿Por qué utilizáis soluciones de terceros no identificados y de dudosa seguridad en lugar de emplear la propias herramientas que vosotros mismos habéis construido para esa misma finalidad con el dinero de todos? 🤷https://t.co/HCvcPfE5bi pic.twitter.com/QVVyqEaOXt

— Jaime Gómez-Obregón (@JaimeObregon) June 19, 2023

En Genbeta

Harto de burocracia, este hacker ha dado una increíble respuesta a la Administración: tratarla como ella nos trata

'¿Qué más dará qué acortador usemos?', diréis. Y sí que da

¿Y qué es 'acortar.link'? Pues otro acortador de URLs, éste teóricamente privado. Y decimos 'teóricamente' porque, pese a contar con una sección de 'Política de Privacidad' en su web, defienden tan pero que tan bien su privacidad que son anónimos: no hay ni una sola referencia a qué empresa o entidad gestiona y posee esta web.

Más aún, sólo revela en qué software de acortamiento de URLs se basa: y la respuesta es Polr, un proyecto que lleva dos años sin actualizarse, si bien un vistazo detallado a su repositorio permite apreciar dicha actualización fue menor y que la mayoría de los componentes llevan mucho más tiempo sin recibir cambios, con los problemas que eso puede provocar a nivel de seguridad.

¿Y por qué es importante la seguridad de un mero y sencillo acortador de URLs? Fácil: porque, como recuerda Gómez-Obregón,

"un acortador de direcciones recibe necesariamente la dirección IP del usuario, que es un dato personal protegido por el RGPD y la LOPDGDD, según la AEPD".

Parece que cada ministerio utiliza un acortador distinto, pero ninguno utiliza… ¡el del Ministerio!

(Nótese que un acortador de direcciones recibe necesariamente la dirección IP del usuario, que es un dato personal protegido por el RGPD y la LOPDGDD, según la AEPD…) pic.twitter.com/Iyo2N5eP6L

— Jaime Gómez-Obregón (@JaimeObregon) June 19, 2023

Pensemos por un momento qué pasaría si un tercero ajeno a la Administración tuviera un listado de las IPs que acceden a la sección de solicitud de ayudas para determinados colectivos vulnerables. Por ejemplo.

Tampoco es que RUN ofrezca una sensación de seguridad mucho mayor, pues donde debería haber un subdominio de referencia para saber que los enlaces que recoge la plataforma son legítimos, nos encontramos con uno que todavía distribuye enlaces HTTP (no seguros), que aquí nos hemos hartado de advertir que suelen ser indicativos de phishing.

Y yo añadiría que llega como http://, no https://, al menos en los SMS. Para los viejunos que tenemos grabado a fuego lo de "No abras direcciones sin candadito", todo un disparador de la desconfianza.

— Tino Güemes (@tinoguemes) June 19, 2023

Como curiosidad, te traemos el primer enlace a run.gob.es colgado en Twitter. Ya entonces parece que la cosa no empezó con muy buen pie:

En Genbeta | La oposición pidió al Gobierno vasco detalles de contratos, y recibió un PDF inservible: un hacker se ha ofrecido a extraer los datos

Comencemos el artículo con un pequeño experimento. Echa un vistazo a las dos URLs siguientes, y responde, ¿a qué dominio dirigen?

Si has pensado 'Fácil, a bbc.com', tienes razón a medias: la primera URL conduce a ese dominio… ¿la segunda? Ni por asomo. Si estás confundido es porque, a pesar de que los usuarios de Internet nos pasamos el día clicando en URLs, en realidad sabemos poco sobre ellas.

El truco de la arroba

La cuestión es que, en realidad, todo lo que hay entre 'https://' y el símbolo de la arroba está siendo ignorado por el navegador. En origen, los dominios web podían tener una estructura similar a los e-mails, indicando un 'nombre de usuario' antes de la '@'.

En caso de usarlo, le estábamos diciendo al sitio web que nos logueara con dicho username. De hecho, podíamos usar la siguiente estructura para incluir la contraseña también en la URL:

http:// user:pass@website.com

En Genbeta

Por qué es importante esperar si te llega un enlace sospechoso: 1 de cada 3 webs de phishing desaparece durante sus primeras 24 h.

Sin embargo, hoy en día los navegadores modernos, por seguridad, evitan que sus usuarios puedan autenticarse accidentalmente con un solo clic en sitios web, por lo que ignoran todo lo que introduzcamos antes de la arroba y se limitan a dirigir al usuario a la parte de la URL que queda a la derecha de ésta.

Anatomía de una URL

Es posible que a estas alturas hayas visto un par de posibles fallos en el ejemplo que pusimos al comienzo del artículo. Los abordaremos luego, ahora vamos a repasar todas las partes de que puede componerse una URL:

Gráfico basado en original extraído del paper 'Equivocal URLs: Understanding the Fragmented Space of URL Parser Implementations'

• Protocolo: Indica al navegador cómo debe conectarse al servidor. No es lo mismo "http://" que su versión segura ("https://") —aunque ambas se conectan a páginas web—, o que "mailto://" (para direcciones de e-mail), "ftp://", "gopher://", etc. Uso obligatorio, aunque los navegadores ya no siempre lo muestran.
• Información de login: Ya explicado más arriba, podemos indicar sólo el nombre de usuario o incluir también la contraseña. Uso opcional y cada vez menos frecuente.
• Dominio: Es el eje en torno al cual gira una URL, le dice al navegador a qué máquina de Internet conectarse (con la ayuda de las DNS). Uso obligatorio. En algunos casos puede aparecer dividido por un punto, indicando un 'subdominio' (1ercurso.colegio.es).
• Puerto: Cada protocolo tiene un puerto o puertos vinculados por defecto, pero en algunos casos podemos querer indicar al navegador que se conecte, por ejemplo, a un servidor web secundario instalado en la misma máquina que otro: en esos casos, lo habitual es recurrir a especificar un puerto distinto. Uso opcional.
• Ruta: Cuando no queremos acceder a la página principal, sino a un subdirectorio de sitio web. Uso opcional, pero muy frecuente.
• Parámetro: También conocido como 'query', describimos aquí con detalle sus múltiples usos.
• Fragment: Para indicar al navegador que no muestre la página deseada desde el principio, sino que se localice en un punto concreto de dicha página.

En Genbeta

No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas

"¡Pero no existen dominios con extensiones de archivo!" (Sí lo hacen)

Volviendo al ejemplo que pusimos al principio, ya puedes deducir que, al contrario que la primera URL mencionada, la segunda no nos conduce a un archivo ZIP en el servidor de la BBC, sino —recuerda lo que dijimos sobre el uso de la '@'— al dominio 'informeonu23.zip'.

Si estás pensando que los '.zip' no son extensiones de dominio válidas, estás desactualizado. Y es que este mismo mes Google ha lanzado al mercado 8 nuevas extensiones de dominio:

• .dad
• .phd
• .prof
• .esq
• .foo
• .zip
• .mov
• .nexus

Como puedes ver, las extensiones .zip (de archivos comprimidos) y .mov (de películas) están ahí. Y ya de antes existían las .sh (dominio territorial de Santa Helena, coincidente con los scripts de Bash), .pl (dominio territorial de Polonia, coincidente con los ficheros de Perl) y .rs (dominio territorial de Serbia, coincidente con los ficheros de Rust).

Imagina que un ciberdelincuente hubiera contratado el dominio .zip del ejemplo y que los usuarios, al acceder al mismo desde un enlace malicioso como aquel, efectivamente se descargasen un archivo ZIP que, obviamente, nada tiene que ver con la BBC: podría ser una fuente de malware.

Y ahora imagina si ocurriera lo mismo… pero usando un repositorio oficial de GitHub antes de la '@'.

En Xataka

Qué hay detrás realmente de .xyz, los dominios que quieren ser los .com del futuro y triunfan entre scammers y web3

"¡Eh, las '/' no se pueden usar en nombres de usuario!" (Es cierto, no se puede, pero…)

Si las '/' que usamos para formar URLs no pudieran incluirse en nombres de usuario (como tampoco se pueden incluir, y por las mismas razones, en nombres de archivo), el ejemplo de URL maliciosa que pusimos no sería válido, pues saltaría un error. ¿Significa que has leído todo esto para nada?

No. Porque si bien no podemos usar /, sí podemos usar (y, de hecho, es lo que hemos usado) el símbolo  ∕ . Prácticamente indistinguible, ¿verdad? Son las trampas de los símbolos ASCII, qué le vamos a hacer.

Por eso debemos tener mucho cuidado con esta potencial estafa, que aún no ha sido detectada siendo usada por ciberestafadores, pero que sin duda empezaremos a ver en breve, ahora que cualquiera puede registrar los nuevos dominios .ZIP.

Vía | Bobbyr en Medium

Imagen | Daniel en Pixabay + Miguel Á. Padriñán en Pixabay

En Genbeta | Alojamientos web: qué son y cuántas clases existen

Hace un par de semanas, te explicábamos en estas páginas en qué consistían los 'parámetros de seguimiento' que ciertos sitios web adjuntan a las URLs tras un símbolo de interrogación (ejemplo: dominio.com/?fbclid=IwAR0blrXd), y te informamos acerca de cómo Mozilla Firefox —a partir de su versión 102— había empezado a suprimir algunos de ellos con el fin de evitar poner en peligro la privacidad del usuario.

Y es que, como repasábamos en dicho artículo, existen ciertos parámetros necesarios (los modificadores de contenido, cuya supresión altera la misma funcionalidad de la web), y los de seguimiento (pensados con el único fin de conocer qué 'ruta' ha seguido el usuario para llegar hasta la web en cuestión).

Estos últimos son, precisamente, los que Firefox ha empezado a suprimir en su 'Modo Privado'. Aunque también puede activarse esta función en el modo de navegación normal de Firefox y —extensiones mediante— en otros navegadores como Google Chrome, Microsoft Edge, y derivados.

En Genbeta

Parámetros de seguimiento en las URLs: qué son, por qué Firefox ha empezado a eliminarlos y cómo puedes hacerlo en Chrome y Edge

¿Que queréis que quitemos los parámetros de seguimiento? Cómo no, cómo no, denos un segundo…

Ahora, sin embargo, Facebook ha decidido reaccionar para convertir en inútiles los esfuerzos de Mozilla y compañía, impidiendo que puedan detectar —y, con ello, suprimir— los parámetros de seguimiento de las URLs. Así, a partir de ahora, la red social de Mark Zuckerberg no se limitará a añadir el parámetro 'fbclid' al final de los enlaces (un parámetro eliminable, a mano o automáticamente, sin mayor repercusión para el usuario)…

Ejemplo de uso de un parámetro de seguimiento en un enlace externo a Facebook (estos, por ahora, no se ven alterados).

…sino que, desde ahora, fusiona el parámetro de seguimiento con el resto de la URL, de tal forma que ya no podremos suprimirlo sin romper la URL (y, por tanto, sin que se nos impida visitar el contenido web deseado).

Para ello, Facebook ha optado por recurrir a la encriptación (lo cual resulta, sin duda, irónico, dado que esta técnica suele asociarse con un reforzamiento de la privacidad, justo lo contrario de lo que presenciamos en este caso).

A partir de ahora, las direcciones de facebook.com (por fortuna, este método no es aplicable a los enlaces salientes) con parámetro de seguimiento lucirán así:

Vía | GHacks

Imagen | Basada en originales de Alessio Jacona & EFF Photos & Sean MacEntee

Pareciera que navegar por Internet fuera cada vez menos seguro: a veces da la sensación de que cada clic que hacemos en una URL desconocida (de alguna aparente campaña de phising por email o, peor, de la enorme gama de acortadores de enlaces disponible hoy en guía) es como dar un paso en un campo de minas.

Ayuda, sin duda, contar con aplicaciones antimalware que protegen el equipo en tiempo real y bloquean la apertura de ciertas URLS. Pero ¿y pudiéramos avanzar sin dar pasos en falso, sabiendo con cierta seguridad que terminaremos en una dirección web fiable? Para eso se inventaron los verificadores de URLs. Te mostramos una selección de los más útiles:

Norton Safe Web

Norton es uno de los grandes nombres en el ámbito de la ciberseguridad, por lo que podemos confiar en su base de datos de amenazas permitirá descartar muchas de los potenciales amenazas que podríamos encontrar en nuestras sesiones de navegación. La ventaja es que el uso de Norton Safe Web es totalmente gratuito.

Tras introducir la URL de nuestro interés, nos indicará si ésta es segura, especificando tres indicadores: amenazas de malware, amenazas de identidad y 'factores de molestia', un término en el que se engloban malas prácticas por parte de los propietarios de la web, como intentar instalar software no deseado (aunque éste no sea malware). En algunos casos encontraremos también puntuaciones y comentarios elaborados por la comunidad de usuarios.

Website Reputation Checker de URLVoid

Algunas de las 35 listas negras consultadas por el servicio de URLVoid.

El Website Reputation Checker de URLVoid es una herramienta cuyo uso no se diferencia en nada del anterior, aunque sí lo hace la información que ofrece al usuario sobre la URL de nuestro interés.

En primer lugar, nos proporciona información sobre el registro del dominio y la localización del servidor, indicándonos si aparece en alguna de sus 40 'listas negras'. A continuación, se detalla la valoración de cada una de dichas listas, para que (si se diese el caso) pudiéramos saber en cuál aparece; todas ellas están vinculadas a empresas e instituciones de ciberseguridad (como Avira o el CERT-GIB).

Google Transparency Report

La tecnología Safe Browsing de Google examina millones de URLs al día buscando sitio potencialmente inseguros, lo que le permite mostrar avisos de advertencia en su buscador y en los navegadores web que usan su tecnología. Pero su Google Transparency Report también nos permite recurrir a dicha tecnología a demanda, indicándonos si el sitio es o no seguro, y cuándo fue la última vez que se verificó dicha URL.

En Genbeta

Es 2020, pero evitar muchas estafas de phishing sigue siendo tan simple como leer con atención

Sucuri Sitecheck

Sucuri no vive de proteger al usuario frente a webmasters desaprensivos, sino que es un servicio dirigido a proteger páginas webs frente a ciberataques (de inyección de código, DDoS, etc), especialmente popular entre los administradores de sitios basados en Wordpress.

Pero, además, de eso, mantienen una herramienta online gratuita, Sucuri SiteCheck, que no sólo permite verificar la seguridad de una URL (verificándola en 9 listas negras diferentes), sino que nos indica a qué otra URL redirige (muy útil cuando nos enfrentamos a acortadores de enlaces) y si esta última cuenta con versión HTTPS.

URLEX

URLEX (URL Expander) es una herramienta extraordinariamente sencilla: nos muestra una caja de texto en la que podremos introducir numerosas URLS acortadas a la vez, para que pueda mostrarnos a qué webs redirigen realmente. Nos proporciona, además, la opción de bajarnos los resultados en forma de fichero .csv.

PhishTank

PhishTank es un sitio web que se enfoca, ante todo, en alertar sobre sitios de phishing, proporcionando resultados instantáneos si el enlace ya está identificado en su base de datos, o bien proporcionando un número de seguimiento para nuevos enlaces sospechosos. Permite a los usuarios verificar las URLs introducidas por otros, así como desarrollar aplicaciones que hagan uso de su API.

Urlscan.io

Urlscan.io es otra herramienta de análisis y escaneo de sitios web, que proporciona información sobre los dominios e IPs con los que se conecta la web verificada al cargar, así como sobre las tecnologías que incluye (redes de publicidad web, librerías JavaScript...). Además, Urlscan.io es utilizado por muchos clientes empresariales y proyectos de código abierto, y ofrece una API para integrar estas comprobaciones en productos de terceros.

En Genbeta | "Advertencia: sitio sospechoso". Esta extensión de navegador te avisará cuando caigas en una web fraudulenta

Hace un buen tiempo que en Google quieren matar la URL, y aunque no están seguros de exactamente cómo lo harán, lo que pasó con la llegada de Chrome 76 demuestra que el proceso ya comenzó.

En agosto de 2019, Chrome dejó de mostrar los 'http' y 'https' en la barra de direcciones, y ahora, como cuentan en Bleeping Computer, ya están probando eliminar completamente las URLs de la barra de dirección cuando hacemos búsquedas en Chrome.

Query in Omnibox

Desde Chrome 71, está disponible una función experimental llamada "Query in Omnibox" que causa que cuando escribimos una búsqueda en la barra de direcciones de Chrome, la URL resultante no se muestre como normalmente pasa, sino que en su lugar solo aparece el texto que buscamos.

En Genbeta

Cómo volver a ver los 'http' y 'https' en la barra de direcciones de Chrome 76

Es decir, lo normal es que cuando escribimos algo en la omnibox de Chrome se muestren opciones para autocompletar, y cuando presionamos enter veamos los resultados en Google. Esa página de resultados tiene una URL y la podemos ver en la barra, como en este ejemplo:

Con la nueva función activa, la compleja URL de arriba no se muestra, y en cambio solo veremos al texto que usamos en la búsqueda. Si bien, con la primera opción es más fácil copiar y pegar esa URL si la queremos compartir, con el otro método aún es posible acceder a la URL si hacemos click derecho sobre la barra de dirección y luego en "Mostrar URL":

Según Google, las URLs como existen actualmente son peligrosas

El argumento de Google a favor de deshacerse de las URLs es simple: son complicadas y son inseguras. Lo primero queda claro, especialmente viendo la URL que arroja el resultado de Google, es bastante difícil de leer para los humanos.

Hay algo raro con esa 'W'

La segunda quizás requiera ejemplos más claros. Las URLs actuales son bastante propensas a ser usadas en ataques de phishing para engañar a los usuarios. Quizás recuerden cuando les contamos cómo el mismo dominio de Google fue víctima de ello: hay imitadores que "falsifican URLs" casi indistinguibles de las originales gracias al uso de caracteres especiales.

En Genbeta

Trucos para personalizar Google Chrome como tú quieras

Un caso similar fue el del WhatsApp.com falso que buscaba infectarnos con malware, o el caso del dominio apple.com imposible de diferenciar del original ni en Chrome ni Firefox. En Google creen que a la mayoría de la gente le cuesta entender las URLs, especialmente a la hora de identificar lo que las hace confiables.

Aunque por ahora esta función sigue siendo experimental, Google ya la ha comenzado a activar por defecto para algunos usuarios. Las URLs no van a desaparecer de un día a otro, pero no hace mucho tiempo aún veíamos no solo el 'http' en la URL, sino el 'www', y Chrome se ha ido deshaciendo de ellos poco a poco.

El siguiente paso son las búsquedas en la barra de dirección, después podrían ser los resultados en el mismo buscador de Google. Sea como sea, estos cambios también traerán su parte de controversia, especialmente si va a ser Google quien va a determinar exactamente cómo vamos a identificar ahora a nuestras direcciones de confianza.

Cada vez que accedemos a un sito web, incluso los que parecen más simples, detrás de lo que vemos en el navegador hay mucha maquinaria trabajando para mostrar la información. Muchas de las web modernas también tienden a contactar diferentes tipos de servicios de terceros para proveer cosas como anuncios, botones sociales, generar analíticas, etc. Y muchas veces para rastrear a los usuarios o cosas peores.

Si quieres saber en detalle qué recursos solicita una web en particular, urlscan.io es para ti. Ya sea que quieras usarlo para optimizar tu propio sitio web si te parece que carga muy lento y quieres saber exactamente que ocupa la transferencia de datos, o simplemente quieres verificar hasta donde llega la madriguera de datos de una dirección.

Según su creador, urlscan es similar al inspector de Chrome que te permite ver detalles de cualquier web que tengas abierta, pero esta herramienta muestra datos adicionales y busca ofrecerte una mirada más concisa a un sitio web, además de que te deja compartir los resultados de un análisis con cualquiera de forma sencilla.

Lo único que tienes que hacer es pegar la URL que quieras analizar y la cantidad de información que muestra sobre el sitio es abrumadora, especialmente como usuario. Puedes ver desde el número de peteiciones que hace una web y el porcentaje de seguridad de las mismas, hasta la cantidad de direcciones IP que contacta, en cuantos países, a través de cuantos dominios y la cantidad de datos transferidos en total.

Tienes un resumen del tipo de documentos que carga la web, todos los dominios que contacta en detalle, enlazados y con el tamaño de los datos. Puedes ver las ubicaciones de todos los servidores, saber el porcentaje de IPv6, detalles de cada IP, peticiones maliciosas, y hasta una captura de pantalla.

Más información | About urlscan
En Genbeta | Cómo comprobar la seguridad de una URL acortada antes de hacer click en ella

Este fin de semana Google ha actualizado varios datos de sus informes de transparencia, esos en los que informa sobre cuántas peticiones diarias y totales recibe para eliminar contenido de su buscador por violaciones de Copyright, y en el que también va anotando cuántas de estas direcciones son finalmente borradas.

Los datos son bastante llamativos, puesto que Google ha alcanzado una cifra redonda como la de un millón de páginas afectadas por los 2.120 millones de solicitudes para eliminar URLs en las que supuestamente se estaban infringiendo los derechos de Copyright. Un crecimiento espectacular de los 66 millones de URLs cuya retirada se había solicitado hace dos años.

Los datos también muestran que de las 2.120 millones de URLs cuya retirada se solicitó por motivos de Copyright Google acabó eliminando el 90,8%, un total de 2.123.258.816. Mientras que únicamente rechazó eliminar el 2,4%. El resto de páginas que no quitó de su buscador fueron por ser URLs inválidas o duplicadas.

Google también ha listado cuales son las empresas que han solicitado la retirada de direcciones web del buscador, y hay pocas sorpresas al ver organizaciones de derechos de autor como la RIAA estadounidense o la APDIF brasileña en los primeros puestos. También vemos creadores de contenido como FOX o Canal+ y empresas tecnológicas como Microsoft.

La evolución de las peticiones

Como vemos en esta otra gráfica creada por Google, la cantidad de peticiones diarias ha aumentado significativamente desde mnediados del 2015, llegando a su pico máximo el 19 de septiembre del 2016 con más de 24 millones de peticiones de retirada de URLs. Desde entonces la cantidad ha ido descendiendo, y el pasado 30 de enero recibieron alrededor de 18 millones y medio de peticiones.

Tal y como explica Google, cuando reciben notificaciones para eliminar URLs de su motor de búsqueda tienen un equipo que comprueba que se haya rellenado correctamente la solicitud, y si no hay ningún error eliminan la dirección de su buscador avisando al administrador de la web mediante la Google Search Console.

Según el proceso de la DMCA, como recuerda la empresa del buscador, un webmaster puede enviar una contranotificación para avisar de que ha habido algún error o reclamar que se vuelva a incluir la URL eliminada. En ese momento Google no actúa como intermediario, sino que son ellos mismos quienes deciden si volver a incluir la página o no. Señalan en su web que si la incluyen y el propietario de los derechos aún cree que el contenido es ilegal, este puede presentar una demanda judicial.

Vía | Google
Imagen | Neon Tommy
En Genbeta | Sigue la batalla por el copyright: Google recibe 1500 peticiones por minuto para borrar URLs de su buscador

Una de las formas más sencillas en la que podemos convertirnos en las victimas de un ataque en la web, es haciendo un simple click donde no deberíamos. Constantemente leemos sobre consejos para navegar de forma segura y evitar ser infectados con malware, nos venden una gran cantidad de productos de seguridad que aseguran protegernos en todo momento, y sin embargo, si abrimos una URL peligrosa sin darnos cuenta, nada de eso valdrá al final.

En un Internet lleno de enlaces acortados y promesas de contenido que muchas veces no son lo que se promete, es buena idea ser desconfiado y si no estamos seguros de a donde nos llevará ese click, o no lo hacemos, o al menos averiguamos primero qué hay detrás de él. Es aquí donde un sitio web como Unshorten.it se hace sumamente útil.

Para saber que hay detrás de los https://www.unshorten.it/ del mundo, y todo lo que sea casi imposible de pronunciar porque no lleva vocales, podemos utilizar el servicio gratuito y simple de Unshorten that URL!

Esta web analiza la URL, la "desacorta" (perdón por esa palabra inventada), y verifica si es un sitio seguro antes de que decidas si vas a proceder a él. Además de decirte a que dirección apunta el enlace acortado que pegaste en su buscador, Unshorten.it te muestra el título de la página, las etiquetas que la describen y una captura de pantalla de cómo se ve.

Unshorten.it utiliza los rangos de seguridad proporcionados por Web of Trust y te enviará una alerta si el sitio al que quieres acceder se encuentra en la lista negra y es peligroso. En conclusión, esta página es algo que quizás quieras añadir a tus favoritos para tener siempre a la mano.

En Genbeta | Cómo evitar los clásicos overlays de 'Suscríbete' o 'Síguenos en Facebook' con tu navegador

Que los acortadores de URLs pueden ser peligrosos es algo que a estas alturas todos sabemos, ya que nunca podemos estar seguros de a dónde apunta una de sus direcciones. Pero ese podría no ser el único peligro, ya que si los utilizamos para intercambiar información privada también podríamos estar poniéndola en peligro.

Esta es la conclusión a la que llega un estudio publicado por dos investigadores de seguridad. Aseguran que para acceder a ella, lo único que tendría que hacer un atacante es aprovecharse de lo predecibles que son las direcciones de estos servicios y dedicarse a investigar cada una de las combinaciones posibles en el espacio de la URL.

Este informe es el fruto de 18 meses de trabajo realizado por el investigador Vitaly Shmatikov de la firma Cornell Tech y el independiente Martin Georgiev. En él ponen la lupa sobre OneDrive y Google Maps, ya que utilizan servicios de acortamiento de URLs, por lo que sin quererlo podrían estar poniendo en peligro la privacidad de sus usuarios.

Esto es lo que dice el estudio

Durante la investigación se hizo un escaneo de 100 millones de direcciones en bit.ly generando combinaciones aleatorias de seis caracteres. El 42% les llevaron a URLs reales, de las cuales 19.524 pertenecían a archivos de OneDrive, la mayoría de ellos online. Probaron también combinaciones de siete caracteres con un éxito del 29%, y han asegurado que centrándose en cierto tipo de combinaciones podían aumentar notablemente este porcentaje.

Analizando las direcciones que habían obtenido, los investigadores consiguieron acceder a un total de 1,3 millones de archivos subidos a la nube de OneDrive. Esto les llevó a la conclusión de que aproximadamente el 7% de las URLs de OneDrive estaban vinculadas a archivos abiertos con permiso de escritura. También obtuvieron acceso a cientos de archivos de Google Drive igualmente desprotegidos.

Escanear el acortador de Google fue mucho más fácil, ya que para Maps sólo se utilizaban 5 caracteres. Consiguieron encontrar 23 millones de direcciones de Google Maps, de las cuales un 10% correspondían a direcciones para ir de un sitio a otro y recordatorios de localizaciones. Estas estaban asociadas a cuentas específicas de usuarios, creando un serio problema de privacidad.

El estudio concluye que un atacante podría utilizar un botnet para escanear todos los caracteres posibles en los espacios de los acortadores de URLs. De esta accederían a miles de cuentas de OneDrive y Google Drive, pudiendo subir malware que se sincronizara automáticamente con los dispositivos móviles de sus propietarios.

Vitaly Shmatikov escribe en su blog las reacciones de ambas empresas cuando les presentaron el informe. Por una parte Google pasó de utilizar 5 caracteres a 11 y 12 en su acortador de direcciones para Maps, mientras que Microsoft dejó de ofrecer bit.ly directamente en OneDrive, haciendo también cambios en su estructira de URLs para tratar de evitar estas vulnerabilidades.

Vía | Vitaly Shmatikov
En Genbeta | Cómo crear tu propio acortador de URLs