Cada vez que envías un enlace por Facebook Messenger o Instagram corres el riesgo de ser espiado: por qué deberías optar por apps más seguras

Mark Zuckerberg, CEO de Facebook.
Mark Zuckerberg, CEO de Facebook.
  • Facebook Messenger se descarga la información de los enlaces que envías a tus contactos para preparar la vista previa en el chat.
  • El problema es que terceros podrían tener accesos a esa información sensible, ya que Facebook se descarga gigabytes de datos.
  • Descubre más historias en Business Insider España.

Cada vez que envías un enlace a un amigo o a un familiar a través de una app de mensajería, os estáis poniendo en peligro. Si lo haces a través de Facebook Messenger debes saber que, directamente, alguien más podría ver qué estás enviando.

Es lo que constata una investigación publicada este domingo por dos expertos en ciberseguridad, Talal Haj Bakry y Tommy Mysk. Sus nombres no te sonarán, pero Forbes recuerda que son los expertos que detectaron cómo muchas apps accedían indiscriminadamente al portapapeles de los usuarios en iPhone, en especial aplicaciones como TikTok.

La investigación se detiene en cómo las aplicaciones de mensajería como WhatsApp, Signal o Messenger gestionan las vistas previas de los enlaces que se envían los usuarios. Te habrás dado cuenta de que, al enviar una noticia a un contacto a través de una de estas plataformas, además del enlace en cuestión, la app carga la imagen del artículo, el titular y una breve descripción.

Según explica Forbes, que recoge los pormenores de la investigación de Haj Bakry y Mysk, las apps de mensajería acceden a esos elementos —titular, descripción e imagen— a través de varios métodos. Todos ellos podrían poner en peligro tu privacidad y tu seguridad.

Google, Facebook y Microsoft eluden pagar cada año unos 2.360 millones de euros en impuestos en 20 países en desarrollo, denuncia una investigación

Por ejemplo. En WhatsApp, es el teléfono del remitente el que accede al enlace que el usuario en cuestión está enviando para 'recolectar' los elementos antes descrito. Esto expone al usuario que envía el enlace: aunque no haya abierto la pestaña, tal vez esté accediendo a un link en el que alguno de estos elementos tengan código malicioso. WhatsApp delega esta responsabilidad en el remitente porque la app sobreentiende que, al ser él quien está enviando un enlace, ha de ser porque ha accedido antes a él y sabe que no hay ningún riesgo.

Otra fórmula es la contraria. En este caso, cuando un usuario recibe un enlace en una app de mensajería, es su móvil el que se encarga de acceder en segundo plano a los metadatos del hipervínculo para recopilar la imagen, el titular y la descripción con la que cargar la vista previa. ¿Qué ocurre? Que en estos casos, el link podría incluir código malicioso en alguno de estos elementos.

Dos plataformas de mensajería utilizan este método, pero los investigadores no han revelado todavía cuáles porque van a subsanar este problema: si un usuario recibe un enlace malicioso y su teléfono accede automáticamente al mismo para poder preparar la vista previa, podría descargarse malware o incluso entregar la ubicación y la dirección IP del dispositivo.

Y una tercera fórmula que usan las plataformas para preparar la vista previa de los enlaces es la de Facebook Messenger.

Todos tus enlaces están en un servidor de Facebook

Cuando envías un enlace a Facebook Messenger, tanto emisor como receptor cargan en sus ventanas una vista previa del enlace. Para cargarse esta vista previa, la plataforma envía el enlace a un servidor propio con el objetivo de hacer esa gestión y, de paso, comprobar que se trata de un vínculo que no incumple las normativas de la plataforma.

Aunque ya se sabía —recuerda Forbes— que Facebook husmea en las conversaciones de sus usuarios precisamente para comprobar que se cumple con la normativa, la realidad es que el hecho de que tus enlaces se almacenen en un servidor de la multinacional le da al problema una nueva dimensión.

"Cuando envías un enlace, la aplicación primero lo enviará a un servidor externo al que pedirá que genere una vista previa, entonces el servidor enviará esta vista previa a emisor y receptor". "Facebook Messenger no genera estas vistas previas en las conversaciones secretas de la plataforma, que sí están encriptadas de punto a punto", explica uno de los investigadores a Forbes.

Cuánto pagan los grandes estudios del videojuego: los sueldos de los creadores de 'Animal Crossing', 'Fortnite', 'League of Legends' o 'FIFA'

"Los enlaces compartidos podrían tener información privada destinada únicamente a sus receptores. Pueden ser facturas, contratos, registros médicos o cualquier cosa que sea confidencial. Aunque estos servidores son verificados por la app, no se indica en ningún momento que los servidores están recibiendo estos enlaces. ¿Los servidores descargan algunos archivos o una pequeña muestra para cargar la vista previa? Si descargan los archivos completos, ¿guardan los servidores una copia? ¿Por cuánto tiempo?". Son algunas de las preguntas que se hacen los investigadores.

"Y estas copias, ¿se almacenan de forma segura? ¿O puede la gente que gestiona estos servidores acceder a las mismas?".

Facebook Messenger no está sola utilizando estos servidores para tal fin. Otras apps utilizan una metodología similar para cargar las vistas previas de los enlaces: Instagram, LinkedIn, Slack, Twitter, Zoom o Google Hangouts, detallan. Pero solo Facebook hace descargas masivas de los archivos que contienen los enlaces que se envían los usuarios entre sí.

Mientras que otras plataformas se descargan un máximo de 20 o 50 megas de los enlaces de sus usuarios para cargar la vista previa, los investigadores han detectado ficheros descargados de hasta 2,6 gigabytes. "En el momento en el que enviamos un link, detectamos cómo varios servidores de Facebook empezaron a descargar información inmediatamente... 24,7 gigabytes fueron descargados".

Brecha de seguridad en RadarCOVID: incluso Amazon pudo acceder a los códigos de los ciudadanos que confirmaron su contagio en la plataforma

La situación es todavía más preocupante cuando se descubre que en el caso de Instagram, incluso durante este proceso se podría ejecutar código malicioso que venga incrustado en algunos de los enlaces que se envíen los usuarios.

Facebook ha asegurado a Forbes que no hay ninguna brecha de seguridad. La compañía asegura que todo esto se detalla en su política de privacidad y que se toman medidas de seguridad adicionales con estos servidores. Pero si queda algo claro, reflejan los investigadores en su artículo, es que si quieres enviar información sensible a un contacto, mejor evites apps no tan seguras como otras, como es el caso de la propia WhatsApp —que sí cuenta con el cifrado de extremo a extremo— o Signal.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.