Guillem Alsina Gonzàlez
El envío de URLs por SMS se ha consolidado como mecanismo de acceso rápido a servicios digitales para la realización de validaciones, comunicación de notificaciones, y reanudación de trámites sin fricción. Sin embargo, un reciente estudio titulado «Private Links, Public Leaks: Consequences of Frictionless User Experience on the Security and Privacy Posture of SMS-Delivered URLs» y disponible públicamente en la plataforma Arxiv de la Universidad de Cornell (Estados Unidos) indica que atribuir confianza “de facto” al SMS como canal privado puede abrir la puerta a accesos no autorizados si los enlaces actúan, en la práctica, como credenciales.
Los autores del trabajo han enfocado el análisis desde un ángulo poco habitual, utilizando pasarelas SMS públicas que permiten leer mensajes recibidos en números desechables. A partir de esta observación, los investigadores recopilaron 33.128.103 de mensajes asociados a 30.203 números y localizaron 485.286 mensajes con al menos una URL válida, de los que extrajeron 322.949 enlaces únicos repartidos en 10.903 dominios.
Para ir más allá del texto del mensaje y entender qué expone realmente cada enlace, el equipo automatizó el acceso a las URLs y capturó evidencias de cliente (interfaz web, registros de red y HTML) cuando el enlace era accesible. En total, obtuvieron atributos dinámicos de 147.251 URLs (45,60% del total), mientras que el resto se descartó por duplicidad (según hash del destino final) o por errores de conexión y expiraciones.
El concepto central que describe el estudio es un patrón de diseño que podemos denominar la “URL como credencial”, donde poseer el enlace (a menudo con un token) se trata como autorización suficiente para ver y, en algunos casos, modificar información personal.
A partir de su pipeline de detección de PII (siglas en inglés de Personally Identifiable Information), los autores afirman haber validado 701 endpoints con exposición de datos personales que afectan a 177 servicios, con ejemplos de información sensible como fecha de nacimiento, número de cuenta bancaria o rangos de puntuación crediticia.
El alcance no se limita a “ver” datos. El estudio distingue entre exposición estática (solo lectura) y exposición con capacidad de edición en formularios precargados, y señala quince servicios en los que un atacante podría modificar registros del usuario tras acceder al enlace. Además, identifica seis servicios en los que el enlace desemboca en un contexto autenticado que habilita la toma de control de la cuenta, con la posibilidad de alterar datos críticos como dirección de correo electrónico o contraseña.
Otro vector destacado es la enumeración: si el token del enlace tiene baja “entropía” (poca aleatoriedad efectiva), el atacante puede probar variaciones hasta encontrar enlaces válidos de otros usuarios. El estudio cifra en 125 los servicios potencialmente vulnerables por insuficiente entropía y documenta trece casos en los que obtuvieron un “acierto” en menos de diez intentos durante comprobaciones manuales.
A ese riesgo se suma lo que el trabajo denomina overfetching (sobrecarga o sobreobtención de datos), consistente en respuestas de API o HTML que incluyen más datos personales de los que muestra la interfaz. Los autores identifican 76 servicios en los que el cliente recibe más información de la necesaria, aunque no sea visible a simple vista en pantalla, lo que amplía la superficie de exposición a cualquiera que inspeccione el tráfico del navegador.
En paralelo, se describen cuatro servicios con mecanismos de “segunda capa” (por ejemplo, fecha de nacimiento, código postal o apellidos) que serían enumerables si no hay límites estrictos de intentos. En la práctica, esto convierte atributos personales relativamente previsibles en una barrera débil cuando se combina con un enlace que ya actúa como llave de acceso.
El factor tiempo también agrava el escenario. La medición de “exposure time” (antigüedad del enlace aún activo) se calcula como diferencia entre la fecha del SMS y la fecha de rastreo (26 de julio de 2025), y el estudio indica que aproximadamente un 46% de los enlaces con PII seguían activos pasados dos años, con casos que se remontan a 2019.
Por sectores, el trabajo clasifica los dominios y observa una presencia relevante en “Business and Economy” (27 servicios), “Information Technology” (23) y “Financial Data and Services” (19). En este último grupo, los autores subrayan que muchos casos estaban vinculados a flujos de préstamo con formularios precargados, lo que, en su interpretación, eleva el atractivo para el fraude.
Finalmente, el estudio recoge fricciones habituales en divulgación responsable de incidentes, ya que los investigadores revisaron las políticas de privacidad y señalan que pocas organizaciones ofrecen guías claras para informar de fallos. Indican que enviaron 150 informes, de los cuáles dieciocho obtuvieron respuesta y siete acabaron en correcciones implementadas, y estiman que el impacto de esas actuaciones habría protegido a más de 120 millones de usuarios, según su metodología de estimación.
