Las "vistas previas" en las mensajerías, un peligro para la privacidad de los usuarios

Las vistas previas de enlaces son una característica omnipresente que se encuentra en casi todas las aplicaciones de chat y mensajería, y con razón. Facilitan las conversaciones en línea al proporcionar imágenes y texto asociados con el archivo que se está vinculando.

Desafortunadamente, también pueden filtrar nuestros datos confidenciales, consumir nuestro ancho de banda limitado, agotar nuestras baterías y, en un caso, exponer enlaces en chats que se supone que están encriptados de extremo a extremo. Entre los peores infractores, según una investigación publicada el lunes, se encontraban los mensajeros de Facebook, Instagram, LinkedIn y Line. 

Cuando un remitente incluye un enlace en un mensaje, la aplicación mostrará la conversación junto con el texto (generalmente un título) y las imágenes que acompañan al enlace. 

Para que esto suceda, la aplicación en sí, o un proxy designado por la aplicación, debe visitar el enlace, abrir el archivo allí y examinar su contenido. Esto puede exponer a los usuarios a ataques. Los más graves son los que pueden descargar malware. Otras formas de malicia pueden obligar a una aplicación a descargar archivos tan grandes que provocan que la aplicación se bloquee, agote las baterías o consuma cantidades limitadas de ancho de banda. Y en caso de que el enlace lleve a materiales privados, por ejemplo, una declaración de impuestos publicada en una cuenta privada de OneDrive o DropBox, el servidor de aplicaciones tiene la oportunidad de verlos y almacenarlos indefinidamente.

Los investigadores detrás del informe del lunes, Talal Haj Bakry y Tommy Mysk, encontraron que Facebook Messenger e Instagram eran los peores infractores. Ambas aplicaciones descargan y copian un archivo vinculado en su totalidad, incluso si tiene un tamaño de gigabytes. Nuevamente, esto puede ser una preocupación si el archivo es algo que los usuarios quieren mantener en privado.

Haj Bakry y Mysk informaron sus hallazgos en Facebook, y la compañía dijo que ambas aplicaciones funcionan según lo previsto. El propietario de Instagram, Facebook, dijo en un correo electrónico que sus servidores solo descargan una versión reducida de una imagen, no el archivo original, y que la empresa no almacena esos datos. El correo electrónico también dijo que sus servidores ejecutan JavaScript para verificar su seguridad. Mysk, sin embargo, dijo que el video demuestra que Instagram descargó un archivo de 2.6GB (un ISO de Ubuntu con el archivo renombrado a ubuntu.png) en su totalidad. También dice que la mayoría de los otros mensajeros eliminan JavaScript en el lugar de descargarlo y ejecutarlo en sus servidores.

LinkedIn funcionó solo un poco mejor. Su única diferencia era que, en el lugar de copiar archivos de cualquier tamaño, copiaba solo los primeros 50 megabytes.

Mientras tanto, cuando la aplicación Line abre un mensaje cifrado y encuentra un enlace parece, enviar el enlace al servidor Line para generar una vista previa. "Creemos que esto frustra el propósito del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación y quién comparte qué enlaces con quién", escribieron Haj Bakry y Mysk.

Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan la cantidad de datos entre 15 MB y 50 MB. 

El estudio es una buena noticia porque muestra que la mayoría de las aplicaciones de mensajería están haciendo las cosas bien. Por ejemplo, Signal, Threema, TikTok y WeChat brindan a los usuarios la opción de no recibir una vista previa del enlace. Para los mensajes y usuarios verdaderamente sensibles que desean la mayor privacidad posible, esta es la mejor configuración. Incluso cuando se proporcionan vistas previas, estas aplicaciones utilizan medios relativamente seguros para representarlas.

Aún así, la publicación del lunes es un buen recordatorio de que los mensajes privados no siempre son tan privados.