Descubre qué mensajeros están filtrando tus datos, agotando tu batería y consumiendo tráfico de Internet

Last Updated on octubre 12, 2022 by Daniel Cepeda

La vista previa de los enlaces es innegablemente útil. Sin embargo, también puede comprometer su privacidad y seguridad.

Simplifica las conversaciones en línea mostrando una breve descripción del sitio, una miniatura de la imagen o proporcionando tanto la imagen como el texto asociado al archivo al que apunta el enlace.

Según un estudio publicado el lunes, las infracciones más graves se produjeron en los servicios de mensajería de Facebook (quién lo iba a decir), Instagram, LinkedIn y Line.

¿Cómo funciona la vista previa?

Cuando un remitente incluye un enlace en un mensaje, la aplicación lo acompaña de un encabezado, un texto breve y una imagen. Esto suele ser algo así:

Para que esto ocurra, la propia aplicación, o su proxy designado, tiene que seguir el enlace, abrir el archivo o sitio web y averiguar qué contiene. Y esto es precisamente lo que hace que los usuarios sean vulnerables a los ataques.

Las mayores amenazas provienen de aquellas aplicaciones que permiten la descarga de malware, mientras que otras pueden hacer que se descarguen archivos tan grandes que provoquen el fallo de la aplicación, agoten la batería o consuman el limitado ancho de banda de Internet.

Y si el enlace conduce a material privado -como una declaración de la renta publicada en una cuenta privada de OneDrive o DropBox- el servidor de la aplicación puede verlo y almacenarlo indefinidamente.

Los investigadores Talal Hajj Bakri y Tommy Mysk, que elaboraron el informe , descubrieron que Facebook Messenger e Instagram son los que más infracciones presentan.

Como se muestra en el siguiente vídeo, ambas aplicaciones descargan y copian el archivo vinculado en su totalidad, aunque se mida en gigabytes.

Y esto puede ser un problema si los usuarios quieren mantener el archivo enviado en privado.

Los servidores de Instagram descargan cualquier enlace enviado en mensajes privados, aunque sea de 2,6 GB.

Al descargar estos archivos adjuntos, las aplicaciones pueden consumir enormes cantidades de tráfico de Internet y de batería.

Ambas aplicaciones también ejecutan cualquier JavaScript contenido en el enlace. El problema es que los usuarios no tienen forma de comprobar la seguridad del código JavaScript del sitio, y no pueden esperar que los mensajeros tengan la misma protección antiexplotación que los navegadores modernos.

Hajj Bakri y Mysk informaron de sus hallazgos a la propia Facebook, pero la empresa dijo que ambas aplicaciones funcionaban correctamente.

LinkedIn obtuvo resultados ligeramente mejores. La única diferencia era que en lugar de copiar archivos de cualquier tamaño, sólo copiaba los primeros 50 megabytes.

Mientras tanto, cuando la aplicación de Line abre un mensaje cifrado y encuentra un enlace, lo envía al servidor de la empresa para crear una vista previa.

Talal Haj Bakry

Desarrollador principal de iOS en NuraLogix Corporation

Creemos que esto anula el propósito del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación y quién envía qué enlaces y a quién.

Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan la cantidad de datos a entre 15 y 50 MB.

La siguiente tabla ofrece una comparación de cada aplicación incluida en el estudio.

En general, el estudio es una buena noticia, ya que demuestra que la mayoría de las aplicaciones de mensajería funcionan correctamente.

Por ejemplo, Signal, Threema, TikTok y WeChat dan a los usuarios la opción de no recibir vistas previas de los enlaces.

Al fin y al cabo, aunque haya una vista previa en ella, estas aplicaciones utilizan medios relativamente seguros para renderizarlas. Por desgracia, Tommy y Hudge no incluyeron a Telegram en su estudio.