Sí, mandar un simple enlace por WhatsApp o cualquier aplicación de mensajería instantánea similar puede comprometer nuestra seguridad y privacidad. Así lo cree un grupo de investigadores de seguridad que han mostrado cómo podría revelarse nuestra dirección IP incluso en chats cifrados de extremo a extremo. También podrían recopilar datos en segundo plano. Esto se debe a la vista previa que generan estos enlaces en las aplicaciones de mensajería.
Mandar un simple link por WhatsApp puede ser peligroso
Es muy común que compartamos enlaces a través de aplicaciones de mensajería como WhatsApp o Facebook Messenger. Ahora bien, ¿es esto seguro? Sobre el papel podríamos decir que sí. Se trata de aplicaciones fiables, que están cifradas de extremo a extremo y en las que no deberíamos tener problemas de seguridad.
Sin embargo un grupo de investigadores ha informado de que compartir enlaces a través de este tipo de plataformas puede ser peligroso. Esto es por la vista previa de esos links que compartimos. Esto provoca que esos servicios filtren la dirección IP y puedan exponer los enlaces. Podéis visitar nuestro tutorial sobre qué es un conflicto de direcciones IP.
¿Por qué ocurre esto? Muchas aplicaciones dependen de servidores para generar esas vistas previas de los enlaces que compartimos. Es decir, lo que hacen es enviar esos links a un servidor para que se genere la vista previa y por ese motivo podrían violar la privacidad de los usuarios.
Hay que tener en cuenta que la vista previa de enlaces es una característica común en la mayoría de aplicaciones de este tipo. Hablamos por ejemplo de WhatsApp o Signal. Eso sí, algunas de estas aplicaciones tienen la opción de evitar que se abran en vista previa.
Normalmente estas aplicaciones envían ese enlace a un servidor y automáticamente vuelve a reenviarlo tanto al remitente como al destinatario. También pueden generar esa vista previa en el lado del emisor. Podemos hacer la prueba si intentamos enviar un enlace por WhatsApp. En cuanto copiamos el link se muestra tal cual, el enlace. Sin embargo si esperamos unos segundos se abre la vista previa.
Vistas previas del lado del remitente
Las vistas previas de enlace del lado del remitente se utilizan en WhatsApp, Signal, Apple iMessage o Viber. Lo que hacen es descargar ese enlace, seguido de la creación de la imagen de vista previa y el resumen de ese link. Posteriormente se envía al destinatario. Una vez la aplicación del destinatario recibe la vista previa, muestra el mensaje sin abrir el enlace.
El problema es que esas vistas previas generadas en el lado del emisor pueden abrir la puerta a determinados riesgos de seguridad. Podrían permitir que un atacante pudiera comprobar la ubicación aproximada simplemente por enviar ese enlace a un servidor controlado por él.
Esto último sucede porque la aplicación de mensajería, al recibir un mensaje con un enlace, abre la URL automáticamente para crear la vista previa al revelar la dirección IP del teléfono en la solicitud enviada al servidor.
Ahora bien, en el caso de que ese enlace se envíe a un servidor para generar la vista previa también podríamos tener problemas. En este caso se podría evitar la fuga de direcciones IP, pero aparece el problema de que ese servidor puede almacenar los enlaces recibidos. Aplicaciones como Discord, Google Hangouts, Instagram, LINE, Slack o Twitter, entre otras, se basan en este método. En ningún caso informan a los usuarios de que servidores externos están descargando los enlaces.
Cada aplicación puede almacenar en sus servidores los enlaces durante un tiempo determinado. Por ejemplo los investigadores de seguridad indicaron que Slack almacena esos enlaces durante 30 minutos en caché.