Expertos advierten sobre riesgos a la privacidad en las aplicaciones de mensajería que generan vistas previas de enlaces

Un equipo de investigadores ha advertido sobre varios riesgos de privacidad que enfrentan los usuarios de las aplicaciones de mensajería más populares. Las investigaciones han revelado que las aplicaciones que generan vistas previas de los enlaces pueden dar lugar a filtraciones de direcciones IP, descarga de datos sin autorización y compartir contenido privado con servidores externos, entre otros.

Muchas aplicaciones de mensajería generan una vista previa cuando se envía un enlace. Suele estar compuesta por una imagen y un breve resumen del contenido de la página a la que dirige. Pero los investigadores de seguridad Talal Haj Bakry y Tommy Mysk aseguran que esta característica no siempre es tan inofensiva como parece: “examinémosla con calma y pensemos en cómo se genera una vista previa. ¿Cómo sabe la aplicación qué debe mostrarte en el resumen? Debe abrir de forma automática el enlace para saber lo que hay adentro. Pero, ¿es seguro?” cuestionaron los investigadores. “¿Qué pasa si en enlace contiene malware?¿o si dirige a un archivo muy grande y no quieres que la app lo descargue y gaste tus datos?”.

Para indagar sobre estas interrogantes, Bakry y Mysk examinaron varias aplicaciones de mensajería para determinar que fortalezas y debilidades de seguridad tenía cada una al generar las vistas previas de enlaces.

Según los parámetros que establecieron, hay un grupo de programas que consideran los más seguros en este aspecto por una simple razón: no generan una vista previa de los enlaces. Entre estos programas se encuentran Threema, Tik Tok, WeChat y Signal (si se lo configura para que no muestre vistas previas).

Hay un segundo grupo de programas en los que la vista previa es generada por quien envía el mensaje. “Cuando envías un enlace, tu aplicación de mensajería descarga de forma automática lo que está en él. Genera un resumen y vista previa del sitio web y lo envía adjunto al enlace”, explicaron los expertos. Esto implica que el remitente corre el riesgo, pero el destinatario está protegido. Entre las aplicaciones que operan de esta manera están iMessage, Viber, Whatsapp y Signal (si se lo configura para generar vistas previas).

Existe un tercer grupo de programas en los que la vista previa la genera el receptor del mensaje. Esto se realiza de forma automática, sin solicitud ni aprobación del usuario. Dos aplicaciones se mencionan como parte de este grupo: Reddit y otra aplicación cuyo nombre se ha ocultado porque está parchando el problema.

“Esto es malo”, dicen los investigadores, porque implica una serie de riesgos: por un lado, si se envía un enlace a un servidor diseñado para hacerlo, se puede exponer la dirección IP del destinatario de forma tan precisa que hasta puede mostrar en qué cuadra se encuentra. También se puede enviar un enlace a un archivo grande, hasta de varios gigabytes, por lo que la aplicación lo descargará de forma automática para examinarla y puede gastar la batería y megas del plan del usuario sin su autorización.

Por último, hay un cuarto grupo de programas que también genera una vista previa, pero no lo hace el remitente ni el destinatario, sino un servidor externo. En este caso, se evita el problema de filtración de IP, pero surge un nuevo problema: el enlace o archivo que se envía ya no es privado, se comparte con el servidor y no está claro si éste guarda o no una copia, o por cuánto tiempo lo hace. Entre estas aplicaciones se encuentran Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom.

Los investigadores pusieron los resultados de su investigación en su blog y aclararon que todavía había mucho por profundizar. Aun así, el aporte es valioso: “creemos que las vistas previas de los enlaces son un buen ejemplo de cómo una característica simple puede estar llena de riesgos de privacidad y seguridad”, concluyeron los investigadores Bakry y Mysk.

Fuentes
Why You Should Stop Using Your Facebook Messenger App • Forbes
Experts Warn of Privacy Risks Caused by Link Previews in Messaging Apps • The Hacker News
Link Previews: How a Simple Feature Can Have Privacy and Security Risks • Mysk Blog