La vista previa de enlaces en los mensajeros es bastante útil. Pero su lado oscuro es que puede comprometer la privacidad y la seguridad de los usuarios.

La vista previa del enlace es una función que se puede encontrar en casi todas las aplicaciones de mensajería modernas, y no solo está ahí. Simplifica las conversaciones online mostrando una breve descripción de un sitio, una miniatura de una imagen o proporcionando imágenes y texto asociados con el archivo vinculado.

Desafortunadamente, también pueden regalar nuestros datos confidenciales, consumir más Internet, agotar las baterías de los teléfonos e incluso abrir enlaces en chats cifrados de extremo a extremo. Según un estudio publicado este lunes, las infracciones más graves se encontraron en los mensajeros de Facebook, Instagram, LinkedIn y Line.

¿Cómo funciona la vista previa en los mensajeros?

Cuando un remitente incluye un enlace en un mensaje, la aplicación incluye un título, un texto breve y una imagen. Por lo general, se parece a esto:

Una captura de vista previa en Telegram
SI, antes tenía entrevistas

Para que esto suceda, la propia aplicación, o el servidor proxy que se le asigna, debe seguir el enlace, abrir el archivo o el sitio web allí y averiguar qué contiene. Y esto es exactamente lo que hace que los usuarios sean vulnerables a los ataques. Las aplicaciones que le permiten descargar malware son las más peligrosas, mientras que otras pueden verse obligadas a descargar archivos tan grandes que bloquean la aplicaciónagotan la batería o consumen un tráfico limitado de Internet .

Si el enlace conduce a contenido privado, por ejemplo, una declaración de impuestos publicada en una cuenta privada de OneDrive o DropBox, el servidor de la aplicación puede verlo y almacenarlo indefinidamente.

A Facebook no importa la privacidad de sus usuarios

Los investigadores Talal Haj Bakri y Tommy Mysk, quienes prepararon el informe, encontraron que Facebook Messenger e Instagram eran los más abusados. Como se muestra en el video a continuación, ambas aplicaciones descargan y copian todo el archivo vinculado, incluso pesa en gigabytes. Eso puede ser un problema si los usuarios desean mantener la confidencialidad del archivo enviado.

Los servidores de Instagram descargan cualquier enlace enviado en mensajes privados, incluso si son 2.6 GB.

Al descargar estos archivos adjuntos, las aplicaciones pueden consumir una gran cantidad de tráfico de Internet y energía de la batería. Ambas aplicaciones también ejecutan cualquier JavaScript proporcionado por el enlace. El problema es que los usuarios no tienen la capacidad de verificar la seguridad del código JavaScript en un sitio web y no pueden esperar que los mensajeros tengan la misma protección contra exploits que los navegadores modernos.

Los piratas informáticos pueden ejecutar cualquier código JavaScript en los servidores de Instagram.

Hajj Bakri y Mysk informaron sus resultados a la propia Facebook, pero la compañía dijo que ambas aplicaciones funcionan como se esperaba. LinkedIn funcionó un poco mejor. La única diferencia era que en lugar de copiar archivos de cualquier tamaño, solo copiaba los primeros 50 megabytes.

Mientras tanto, cuando Line abre un mensaje cifrado y encuentra un enlace, lo envía al servidor de la empresa para crear una vista previa.

“Creemos que esto va en contra del objetivo del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación.”, escribieron los investigadores.

Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan el tamaño de los datos de 15 a 50 MB. La siguiente tabla proporciona una comparación de cada aplicación incluida en el estudio.

Tabla de comparación de los archivos subidos que permiten los mensajeros populares
Una señal más para dejar de usar Facebook e Instagram para chatear.

En general, la investigación es una buena noticia, ya que muestra que la mayoría de las aplicaciones de mensajería funcionan correctamente. Por ejemplo, SignalThreemaTikTok y WeChat brindan a los usuarios la opción de no recibir vistas previas de enlaces. Para mensajes verdaderamente confidenciales y usuarios que desean la máxima privacidad, esta es la mejor opción. Después de todo, incluso si tiene una vista previa, estas aplicaciones usan medios relativamente seguros para renderizarlas. Desafortunadamente, Tommy y Hajj no incluyeron Telegram en su investigación.

Basado en materiales de Arstechnica.
Imagen de portada: Brett Jordan vía Pexels