Los enlaces cortos son casi indispensables si queremos compartir sitios de nuestro interés en Twitter. Pero su concepción poco descriptiva, combinada con fallos de seguridad en la red de microblogging, pueden significar más dolores de cabeza que soluciones. Un ejemplo es el bug descubierto ayer, que permitió robar las cookies de los usuarios, tras pulsar sobre un vínculo malicioso acortado con Bit.ly.
Como de costumbre, el tweet aparentaba ser totalmente inofensivo, anunciando el supuesto accidente trágico de la banda de pop Restart. Los investigadores de Kaspersky explicaron que, al picar sobre el enlace, la información de sesión guardada en el navegador del miembro era enviada a dos servidores específicos.
Esto pasó porque el sistema de documentación para desarrolladores de Twitter no verificaba las cadenas de texto que recibía por medio de la URL, permitiendo inyectar código en las páginas, algo conocido como cross site scripting. Así, fue posible que el atacante obtuviera acceso a la sesión del usuario, hasta tanto él mismo la cerrara.
Según las estadísticas (nunca imaginé este uso), casi 117 mil personas cayeron en la trampa, aunque las realmente afectadas serían menos. ¿Por qué? Debemos descontar, por ejemplo, a quienes navegan con Javascript bloqueado o actualizaron su antivirus antes de ingresar.
De acuerdo con lo que informó Twitter, el fallo ya fue corregido, pero nos deja una buena enseñanza: evitemos ingresar a este tipo de links sin saber qué encontraremos del otro lado, especialmente si los publica gente que no conocemos. Es posible averiguarlo gracias a alternativas como LongURL, aunque ahora que t.co ya está en marcha, también es hora de que surja una funcionalidad nativa en el cliente oficial. Aparte de extremar los controles, claro está.