Riesgos de URL acortadas y redirecciones
Las URL acortadas son cómodas.
Permiten acortar URL largas y compartirlas con facilidad en redes sociales, impresos y mensajes.
Sin embargo, desde el punto de vista del anonimato, las URL acortadas requieren cuidado.
Una URL acortada dificulta saber por su apariencia cuál será el destino final. Además, pueden intervenir logs del servicio acortador, medición de clics, redirecciones y parámetros de seguimiento.
"Es corta, así que es segura" no es cierto.
Más bien, al acortarse, hay información que deja de verse.
Este artículo ordena cómo se relacionan las URL acortadas y las redirecciones con el anonimato, y qué revisar antes de compartir.
Qué es una URL acortada
Una URL acortada es un mecanismo que sustituye una URL larga por otra URL corta.
Cuando la persona usuaria abre la URL acortada, primero accede al servicio acortador y después es enviada a la URL original.
Ese envío se llama redirección.
| Etapa | Qué ocurre | Punto a mirar en anonimato |
|---|---|---|
| 1 | Se hace clic en la URL acortada | Primero se conecta con el servicio acortador |
| 2 | El servicio acortador registra o decide | Puede registrar hora de clic, IP, User-Agent y similares |
| 3 | Redirige a la URL original | Se abre el destino final |
| 4 | El sitio de destino procesa | También recibe logs de acceso y parámetros de URL |
Es decir, al usar una URL acortada, no solo el sitio de destino sino también el servicio acortador se convierte en punto intermedio de comunicación.
Este punto es importante.
Lo que se vuelve menos visible con una URL acortada
Con una URL acortada, no se sabe por la apariencia cuál es el destino final.
También se vuelve difícil saber antes del clic qué parámetros tiene la URL final.
| Lo que se vuelve menos visible | Por qué es un problema |
|---|---|
| Dominio final | Cuesta decidir antes de hacer clic a qué sitio vas |
| Parámetros de URL | UTM, ID de clic e ID individuales quedan ocultos |
| Número de redirecciones | Puede pasar por varios intermediarios |
| Servicio intermediario | Cuesta saber qué operador observará el clic |
| Inducción a sitios peligrosos | Por la apariencia cuesta detectar sitios falsos o sospechosos |
En anonimato es importante entender el destino antes de abrirlo.
Las URL acortadas dificultan ese juicio.
Información que puede quedar en un servicio acortador
Un servicio acortador no se limita a acortar cadenas.
Muchos servicios de URL acortadas pueden medir número de clics, origen, fecha y hora, información del dispositivo y similares.
| Información | Significado | Precaución para anonimato |
|---|---|---|
| Hora de clic | Cuándo se abrió | Se coteja con hora de publicación o logs de conducta |
| Dirección IP | Desde qué red se abrió | Puede verse la red de salida, incluso si usas o |
| User-Agent | Información de navegador y OS | Se convierte en rasgo del entorno |
| Referer | Desde qué página se llegó | Puede revelar lugar compartido u origen de entrada |
| Número de clics | Cuántas veces se abrió | Se usa para inferir alcance de distribución o interés |
No todos los servicios acortadores guardan los mismos logs.
Pero al usar una URL acortada, ciertamente añades a la ruta de comunicación un tercero distinto del destino.
En anonimato, aumentar partes de confianza tiene significado por sí mismo.
Cuando se acumulan redirecciones
Al abrir una URL acortada, no siempre hay una sola redirección.
Cuando intervienen publicidad, redes sociales, distribución de correo, analítica de accesos o afiliación, puede pasar por varias redirecciones.
| Problema de redirección | Qué ocurre |
|---|---|
| Varios servicios intermediarios | Cada uno puede observar el clic |
| Se añaden parámetros durante el camino | Pueden añadirse ID de seguimiento o campaña |
| El destino cambia por región o dispositivo | El destino que comprobaste puede diferir del de otra persona |
| URL con caducidad | Al abrirla después puede comportarse distinto |
| Redirección maliciosa | Puede llevar a sitio falso o archivo peligroso |
Cuando compartes una URL acortada, aunque parezca un solo enlace, en realidad puede pasar por varios servicios.
Por eso, en actividad anónima y revisión previa a la publicación, evita en lo posible las URL acortadas y confirma la URL final antes de compartir.
Revisar antes de abrir una URL acortada
Si recibes una URL acortada, hay situaciones en las que conviene no abrirla de inmediato.
Especialmente en actividad anónima, entrevistas, denuncias de irregularidades, comunicaciones relacionadas con actividad y entrega de archivos antes de publicar, evita abrir sin confirmar el enlace.
| Comprobación | Razón |
|---|---|
| Confirmar el destino expandido | Para conocer dominio y URL final |
| Evitar enlaces de remitentes desconocidos | Puede ser sitio falso o enlace de seguimiento |
| No abrir en un navegador con sesión iniciada | Para no vincularlo con o estado de cuenta |
| Confirmar en otro entorno si hace falta | Para no exponer el dispositivo o navegador habitual |
| Mirar parámetros de la URL final | Para revisar UTM, ID de clic, token y similares |
La forma de comprobar el destino expandido depende del servicio y del entorno del navegador.
Si introduces una URL acortada en un servicio online de expansión, esa URL y la información de acceso pueden entregarse al servicio. En enlaces de alto riesgo, no la introduzcas en un servicio externo; pide al remitente la URL oficial o compruébala con cuidado en un entorno separado.
Cuando la seguridad es importante, puede ser mejor no hacer clic a la fuerza y pedir al remitente la URL oficial.
Cuando compartes una URL acortada
Si compartes algo de forma anónima, en principio trata las URL acortadas con cautela.
Al usar una URL acortada, la información de quienes hacen clic puede concentrarse en el servicio acortador.
Además, para quien la recibe, el destino se vuelve difícil de entender.
Esto afecta no solo al anonimato, sino también a la seguridad de la persona receptora.
Si vas a compartir, comprueba lo siguiente.
- Si la URL final conserva parámetros de seguimiento innecesarios
- Si el servicio acortador tiene analítica de clics
- Si la persona receptora puede juzgar el destino antes de hacer clic
- Si de verdad hace falta usar esa URL acortada
- Si no puedes compartir sin problema la URL larga
En actividad anónima, prioriza la claridad de la ruta por encima de la brevedad visual.
No juzgar solo por la URL acortada
Evitar una URL acortada no te vuelve anónimo por sí solo.
Si la URL final conserva parámetros de seguimiento, el problema permanece.
Si tienes sesión iniciada en el destino, el acceso se vincula con la cuenta.
Si la abres en el navegador habitual, se envían Cookie e información del navegador.
Aunque uses VPN o Tor, solo cambia la información visible para el servicio acortador o el destino; los valores de seguimiento de la propia URL no desaparecen.
La revisión de URL acortadas es una parte de todo el rastreo por URL.
Resumen
Una URL acortada es un mecanismo cómodo para acortar URL largas.
Pero desde el punto de vista del anonimato, hace menos visibles el destino final, los parámetros de URL, los servicios intermediarios y los logs de clic.
Al abrir una URL acortada, no solo el sitio de destino sino también el servicio acortador se convierte en punto intermedio de comunicación.
Por eso, en actividad anónima y revisión previa a la publicación, no confíes sin más en una URL acortada; revisa destino expandido, redirecciones, parámetros y estado de sesión.
Cuando compartes tú, piensa también si hace falta usar una URL acortada.
Una URL corta no es necesariamente una URL segura.
En anonimato, prioriza saber el destino y la información que queda antes que la brevedad.