Su objetivo es hacer que a los ciberdelincuentes les resulte más difícil confundir a los usuarios sobre la veracidad de un sitio web.
En septiembre del año pasado, Google anunció que tenía intención de acabar con las URLs, pero todavía no sabía cómo hacerlo. Las direcciones web se han convertido en líneas de texto cada vez más largas e ininteligibles y pueden poner en peligro la información de los usuarios, que pueden confundir un sitio fraudulento con una página oficial. La empresa cree que no son una buena manera de transmitir la identidad del sitio y, por eso, quiere "cuestionar cómo se deben mostrar los enlaces y descubrir la forma correcta de identificar cada página web", tal y como explicaba entonces Adrienne Porter, ingeniera jefa de Chrome, a Wired. Cuatro meses después, ha llegado el momento de pasar a la acción y ya hay dos propuestas viables para comenzar con el proceso.
Por el momento, la mayor medida de seguridad que hay para diferenciar entre una URL verídica y una fraudulenta se centra en los usuarios. "El modelo de seguridad web se basa en confiar en que ellos entiendan las direcciones web y sepan identificarlas", explicaba Emily Stark, al frente del equipo de seguridad aplicada de Google, durante la conferencia sobre ciberseguridad Enigma 2019 el martes pasado. "Pero en realidad no se les da muy bien". Puede ser difícil diferenciar entre GOOGLE.COM y G00GLE.COM. Por eso, los esfuerzos del equipo de la compañía se centran en descubrir cómo detectar las URLs que parecen desviarse de alguna manera de las que son fiables. La clave para conseguirlo es una herramienta interna de código abierto llamada TrickURI, que ayuda a los desarrolladores a verificar que las direcciones web son precisas y coherentes.
Aparte de TrickURI, la compañía también está trabajando en crear advertencias para los usuarios de Chrome cuando una dirección parece potencialmente fraudulenta. Las alertas aún se encuentran en pruebas internas. "Queda mucho trabajo por hacer. El gran desafío es mostrar las partes de las direcciones que son relevantes para la seguridad del usuario y filtrar todos los componentes adicionales que hacen que las URLs sean difíciles de leer", añade Stark.
Su objetivo no es romper internet ni reinventar la forma de navegar, sino ponerle las cosas un poco más difíciles a los ciberdelincuentes. A medida que la web se ha ido expandiendo, las direcciones se han convertido en cadenas de letras, números y caracteres especiales que combinan componentes de terceros o códigos para contabilizar visitas. Entre todo ese galimatías se ocultan combinaciones de símbolos que nadie sabe muy bien qué significan.
Esta situación se complica aún más cuando se visitan páginas desde los dispositivos móviles, donde no hay espacio para mostrar gran parte de la URL; y cuando las direcciones aparecen acortadas, lo que oculta la composición completa de la dirección. A pesar de que en Google son plenamente conscientes de esta situación, ellos mismos tienen un servicio para hacer más cortas las direcciones web que sigue en activo.
Todo esto ha hecho que acceder a un sitio web se convierta en un proceso opaco, un caldo de cultivo para que los ciberdelincuentes puedan construir páginas falsas que imitan a las oficiales, engañar al usuario y quedarse con sus datos. Se hacen pasar por instituciones legítimas, inician automáticamente descargas de virus y lanzan esquemas de suplantación de identidad, una práctica también conocida como phishing.
Este timo ya se ha postulado como una de las principales amenazas en ciberseguridad para este año. Consiste en hacer una copia exacta de, por ejemplo, la página del banco y conseguir que los usuarios accedan a ella y pongan todos sus datos. Los delincuentes se quedan con la información y ya pueden acceder con ella a la página real. Y todo, porque es difícil para los usuarios realizar un seguimiento de con quién están tratando.
No es la primera vez que Google se decide a modificar las URLs. En 2014, la tecnológica probó a sustituir todo el enlace por el nombre de la página para ayudar a garantizar que los usuarios sabían en qué dominio estaban navegando. Si querías ver la URL completa, podías hacer clic encima y ver toda la información. El experimento obtuvo elogios de algunos por hacer que la identidad web fuera más directa, pero también generó críticas. A las pocas semanas de aparecer en un prelanzamiento de Chrome, Google cambió de opinión.