Según señala un experto en ciberseguridad, el usuario corre el riesgo de degradar o poner en peligro su seguridad mientras intenta mejorarla. Un investigador de seguridad cibernética ha alertado sobre esto en relación a los peligros de los servicios de búsqueda de información basados en la nube.
El nuevo informe analiza el servicio público «urlscan.io«, que brinda información sobre URL sospechosas y/o presuntamente peligrosas. El servicio le permite verificar si la URL ingresada es phishing o no, así como obtener información adicional al respecto.
Según el experto, cualquier atacante puede obtener la URL que el usuario ha visto en el sitio. Durante el experimento, resultó que si se busca una URL a través de un navegador y una dirección IP diferentes, el servicio revela algunos datos de la búsqueda anterior.
Estos datos, que en realidad no se suponía que debían estar expuestos al público general, pueden filtrarse como cadenas de texto en las URL para que sean menos visibles para los visitantes que acuden al servicio.
Los datos divulgados pueden incluir:
- Código de localización.
- Nombre de usuario.
- Código de restablecimiento de contraseña.
- Número de pedido, etc.
El autor del estudio también dijo que muchas herramientas de seguridad de terceros, tanto comerciales como de código abierto, realizan búsquedas automáticas de URL «urlscan.io» si están configuradas para hacerlo.
En otras palabras, tu software de seguridad puede revelar involuntariamente tu información personal cuando buscas en Internet. El investigador de ciberseguridad ha identificado «búsquedas ocultas» que los atacantes pueden usar potencialmente para obtener información personal, que incluye, entre otros, los siguientes datos confidenciales:
- Enlaces para crear una cuenta.
- Enlaces de envío de Amazon claves API.
- Solicitudes de firma de DocuSign.
- Enlaces para descargar archivos de Dropbox.
- Enlaces para el seguimiento de paquetes.
- Enlaces de restablecimiento de contraseña.
- Datos de cuentas de PayPal.
- Documentos compartidos de Google Drive.
El informe también explica de forma concisa cómo se puede reducir el riesgo de fuga de datos personales, así como las acciones del servicio urlscan.io para evitar la divulgación de información confidencial de los usuarios. Algo que nadie quiere, incluida la propia plataforma y servicio.
Cada vez debemos ser más prudentes con los datos que aportamos en las redes, y también que plataformas visitamos y cómo lo hacemos, para evitar fugas de datos sensibles que no queremos bajo ningún concepto, acaben siendo de acceso público.
Para defenderse de este tipo de ataques es capital contar con un Ethical Hacker. De toda la oferta existente en el mercado formativo te recomendamos la Certificación en Hacking Ético-Pentesting de la Evidentia University de EE.UU; ya que en tan sólo 12 semanas, sin conocimiento previo, puedes convertirte en un experto en la materia. Además si utilizas este Código: copyhack, obtendrás un descuento del 10% en tu matrícula por ser uno de nuestros fieles lectores. No pierdas la oportunidad de formarte en una profesión con gran proyección de futuro, en la que sus profesionales ganan una media de 3672€ al mes.
