Los denominados acortadores de URL resumen una dirección web en otra mucho más corta y manejable, facilitando que se puedan compartir en Internet, sobre todo en las populares redes sociales. Sin embargo, estos servicios proporcionan a los atacantes un nuevo método para proveer una capa de ofuscación a los enlaces web maliciosos, dificultando el análisis y detección de sitios no deseados. En este artículo se repasan los distintos sistemas de acortamiento, los ataques a los que se pueden ver expuestos los usuarios y las herramientas que han comenzado a desarrollarse para proteger a los usuarios frente a las amenazas de las URL acortadas.

El acortamiento de direcciones web es una técnica basada en hacer accesible una página web a través de una URL mucho más corta que la original, de manera que sea más fácil de recordar y usar. Las URL acortadas se han convertido en un método realmente útil para recomendar enlaces, especialmente a través de redes sociales, teléfonos móviles o plataformas de microblogging, donde el espacio es especialmente reducido, como en el caso de Twitter.

El concepto de acortamiento de direcciones web no es nuevo: en 2002 se creó la página web TinyURL.com, el primer acortador popular que acaparó gran parte de este nicho por bastante tiempo. Actualmente, esta posición de liderazgo recae sobre bit.ly, que ha sabido adaptarse mejor a las necesidades, ofreciendo direcciones más cortas que sus principales competidores, así como una serie de servicios extra de gran valor añadido para sus usuarios.

La necesidad de acortar enlaces se manifiesta principalmente debido al auge de la navegación web en dispositivos diferentes al ordenador personal, como son los móviles, las PDA o, más recientemente, los smartphones. Todos estos aparatos presentan interfaces de entrada más rudimentarios que los que se pueden encontrar en un ordenador. Teclados incompletos o demasiado pequeños, así como sistemas de posicionamiento secuenciales, hacen que teclear una URL sea una tarea lenta y demasiado engorrosa. Por ello, mientras que en un ordenador basta con copiar una URL y pegarla en la barra de direcciones del navegador web, en un dispositivo móvil, esta operación se torna en algo poco menos que una misión imposible, siendo su dificultad directamente proporcional a la longitud del enlace que se desea visitar. Es por ello que han surgido diferentes medios para facilitar esta tarea.

Los métodos más utilizados para enlazar enlaces destinados a la navegación móvil son los Códigos QR y las ya mencionadas URL acortadas. Los Códigos QR son una especie de código de barras que al ser fotografiados con el dispositivo móvil permiten obtener la información que tienen codificada y de esta forma traducirlos a la URL destino a la que se quiere acceder. Se trata de un método muy conveniente para estos aparatos, ya que el usuario no tiene la necesidad de escribir, simplemente acercarse para sacar una foto.

Por su parte, los acortadores de URL tienen la desventaja de que no eliminan la necesidad de escribir intrincadas direcciones, si bien su tamaño no suele superar los 14 caracteres, lo cual limita el esfuerzo de manera considerable. Sin embargo, no ha sido la navegación móvil la que ha hecho despegar esta tecnología: la verdadera plataforma de despegue la conforman los mensajes cortos de texto (SMS), los servicios de mensajería instantánea y muy especialmente los sistemas de microblogging, con Twitter a la cabeza. La limitación del tamaño de los mensajes hacía que pegar una URL tradicional consumiera la mayor parte del espacio útil, impidiendo al usuario incluir comentarios relevantes junto a dicho enlace.

La facilidad técnica para desarrollar los servicios de acortadores, junto con la irrupción en el año 2006 de Twitter, han provocado un boom de aparición de nuevos servicios de acortadores. El acortamiento de direcciones web ha pasado a ser el sistema de referencia para recomendar enlaces en textos donde no se puede insertar código HTML y, en los últimos tiempos, no es extraño encontrar también estos enlaces en artículos de blogs, foros, etc.

Cómo funcionan los servicios de acortamiento de URL

A pesar de no ser novedosa, la redirección de URL se encuentra actualmente en boga debido a los diferentes servicios para acortar enlaces: direcciones extensas y particularmente difíciles de recordar se convierten en URL más cortas y por tanto, mucho más fáciles de teclear, con una positiva repercusión a la hora de publicitar y acceder a servicios online. Existen diferentes técnicas para poder conseguir esta redirección de URL, bien basadas en el protocolo HTTP o bien basadas en la interpretación que hace el navegador web del código de la página descargada.

El sistema más simple de redirección hace uso de los códigos de estado HTTP 30X. Definidos en el Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol, HTTP), una redirección consiste en la respuesta a una petición concreta por parte del cliente, cuyo código comienza por el dígito 3, induciendo al navegador a que se dirija a una nueva dirección indicada en la cabecera Location de dicho mensaje HTTP.

El protocolo define diferentes códigos de respuesta: 300, que indica múltiples destinos, como por ejemplo cuando una página está disponible en varios idiomas; 301, cuando el destino ha cambiado permanentemente; 302, cuando el destino existe, pero se debe acceder temporalmente mediante otra URL; 303, para especificar que a dicha URL se ha de acceder mediante el método HTTP GET; ó 307, similar al 302, pero con otros condicionantes de carácter técnico.

Durante el primer trimestre de 2010 realizamos un estudio sobre los códigos de respuesta HTTP ofrecidos por los diferentes servicios de acortamiento disponibles en el mercado. El estudio se basó en una población total de 242 servicios diferentes operativos en el momento del análisis. Dicho estudio arrojó los siguientes resultados, mostrados en la Figura: un 44 por ciento del total de acortadores contestaban con el código HTTP 301 (movido permanentemente); el 39 por ciento lo hacían con el código 302 (movido temporalmente), al cual habría que añadir el 1 por ciento de los acortadores que hacían uso del código equivalente 307; por último, el 16 por ciento restante devolvía el código HTTP 200, es decir, utilizaban un sistema de redirección diferente.

Como se ha visto reflejado en dicho estudio, la gran mayoría, un 84 por ciento del total de acortadores, hacía uso de la redirección basada en los códigos de estado HTTP 30X. Y este porcentaje aumenta si el análisis se centra únicamente en los 20 acortadores más utilizados.

Sin embargo, dentro de la redirección HTTP, la elección de los diferentes códigos tiene su relevancia para el creador del contenido de la página destino. Los motores de rastreo que utilizan los buscadores entienden estos códigos de redirección de manera distinta. Si reciben un código 301, entienden que el enlace bueno es el destino, por lo que el page rank se actualiza correctamente. Sin embargo, cuando se trata de un código 302 ó 307, al suponerse que son redirecciones temporales, el robot otorga el page rank al enlace acortado y no al destino final, como realmente debería suceder. Por tanto, a la hora de crear un servicio de acortadores de URL se considera una mala práctica utilizar cualquier có