Parámetros de URL desconocidos
Las URL no solo llevan parámetros cuyo significado es fácil de entender.
Hay algunos, como utm_source o gclid, cuyo propósito de seguimiento es relativamente fácil de inferir. Pero también existen valores como id, token, cid, source, ref o session, que son difíciles de juzgar con solo mirarlos.
Cuando ves un parámetro desconocido, es peligroso pensar tanto "como no lo conozco, puedo borrarlo" como "como no lo conozco, puedo dejarlo".
Lo importante para el anonimato es separar si ese valor es necesario para mostrar la página o si sirve para identificar a la persona usuaria o la ruta.
En este artículo se ordena cómo leer y juzgar parámetros de URL desconocidos.
Qué es un parámetro desconocido
Un parámetro desconocido es un valor dentro de una URL cuyo uso es difícil de juzgar solo por el nombre.
Por ejemplo, una cadena como esta.
sample.test/page?id=123&cid=abc&token=xyz
Aquí sample.test es una cadena de ejemplo.
id=123 podría ser el ID de un artículo. Podría ser el ID de un producto. Podría ser un ID específico de una persona usuaria.
cid=abc podría ser un ID de campaña. Podría ser un ID de cliente.
token=xyz podría ser un valor cercano a un permiso temporal de acceso o a una sesión.
No se puede decidir solo por el nombre.
Por eso, los parámetros desconocidos se tratan como algo cuyo significado se estima, cuyo comportamiento se comprueba y que, si hace falta, no se comparte.
Pensar por clasificación
Los parámetros desconocidos se vuelven más fáciles de juzgar si se dividen en varios tipos.
| Tipo | Ejemplo | Tratamiento |
|---|---|---|
| Valor necesario para mostrar contenido | id, page, q, category | Al quitarlo, el contenido puede cambiar |
| Valor que parece seguimiento | cid, campaign, source, ref | Puede ser innecesario para compartir |
| Valor que parece identificador individual | uid, user, visitor, client | Puede ser una pista cercana a la persona usuaria o al dispositivo |
| Valor que parece autenticación o enlace temporal | token, session, sid, key | Priorizar no compartirlo públicamente |
| Valor largo sin significado claro | Letras y números aleatorios | Tratarlo con cuidado porque puede ser emitido individualmente |
Esta clasificación no es un dictamen completo.
Pero es más segura que pegar una URL sin pensar.
En especial, valores como token, session, sid y key deben tratarse con cuidado. Puede no ser una URL para compartir, sino una URL relacionada con un estado de sesión iniciada o con acceso temporal.
Comprobar si se puede borrar
Los parámetros desconocidos se comprueban borrándolos en la práctica.
Sin embargo, si solo lo compruebas con el navegador que usas normalmente y donde ya tienes sesión iniciada, puedes juzgar mal.
| Orden | Qué revisar | Razón |
|---|---|---|
| 1 | Mirar el nombre del parámetro | Inferir si se acerca a seguimiento, visualización o autenticación |
| 2 | Borrar uno por uno | Separar qué valor es necesario para mostrar la página |
| 3 | Abrir en otro navegador | Reducir la influencia de y estado de sesión |
| 4 | Abrir con sesión cerrada | Comprobar si la URL también es visible para otras personas |
| 5 | No compartir si queda un valor largo desconocido | Evitar la posibilidad de un enlace individual |
Si borras todo de golpe, ya no sabes qué valor era necesario.
Al borrar uno por uno, es más fácil separar valores necesarios para la visualización y valores innecesarios.
Cuándo se vuelve peligroso un valor desconocido
Un parámetro desconocido no es problemático solo cuando el valor contiene datos personales legibles.
Aunque parezca una cadena aleatoria de letras y números, dentro del servicio puede estar vinculada con una persona usuaria, envío, invitación, clic o sesión concretos.
| Situación | Qué ocurre |
|---|---|
| Enlace individual de correo | Puede incluir un valor que indica a quién se envió el correo |
| Enlace de invitación | Puede registrarse quién invita o quién recibe la invitación |
| Enlace de acceso limitado | Solo pueden verlo quienes conocen la URL |
| Página posterior a compra o solicitud | Puede quedar en la URL información cercana a un pedido o solicitud |
| Pantalla de administración o vista previa | Puede compartirse una pantalla que no era pública |
Si compartes este tipo de URL desde una cuenta anónima, se crea correlación por el lado de la URL aunque ocultes la red.
Una o no eliminan los identificadores incluidos dentro de una URL.
Señales de que no debe compartirse
Entre los parámetros desconocidos, hay algunos que deberían evitarse antes incluso de pensar en borrarlos.
En los siguientes casos, es mejor buscar otra URL desde la página pública o desde el botón oficial de compartir, en vez de forzar el formato.
| Señal | Razón |
|---|---|
| Incluye token, session o sid | Puede estar cerca de un estado temporal o de autenticación |
| La URL es extremadamente larga | Puede incluir mucho estado individual o información de seguimiento |
| Solo abre con sesión iniciada | Puede ser una página personal invisible para otras personas |
| Hay palabras que indican administración, edición o vista previa | Puede no ser una URL pública |
| Al borrar valores, el contenido cambia mucho | El valor está muy ligado al contenido de la página |
En el anonimato, es importante no tratar como seguro aquello que no se entiende.
"No lo entiendo bien, pero probablemente está bien" es un juicio peligroso.
Malentendidos frecuentes
Hay malentendidos frecuentes sobre los parámetros desconocidos.
Primero, el malentendido de que "si es un valor alfanumérico aleatorio, no significa nada".
En realidad, cuanto más aleatorio parece un valor, más probable es que internamente se use como identificador individual.
Luego está el malentendido de que "si no contiene mi nombre, no hay problema".
En el anonimato, el problema no es solo el nombre. Enlaces emitidos individualmente, IDs de campañas de correo, IDs de invitación e IDs de sesión se vinculan con los registros del servicio.
Por último, está el malentendido de que "si acorto la URL, es segura".
Una URL acortada solo reduce la apariencia. Si el destino expandido conserva parámetros desconocidos, el problema no ha desaparecido.
Juicio práctico
Cuando veas un parámetro desconocido, juzga así.
- Comprueba si parece un valor necesario para la visualización
- Considera candidatos a borrar los valores que parezcan seguimiento, referencia o campaña
- Prioriza no compartir valores como token, session, sid o key
- Después de borrar, vuelve a abrir en otro navegador
- Si quedan valores desconocidos, busca la URL oficial para compartir
Este juicio puede parecer tedioso.
Pero una URL compartida de forma anónima forma parte del cuerpo de la publicación.
Si relees el texto, también tienes que releer la URL.
Resumen
Un parámetro de URL desconocido es un valor dentro de una URL cuyo uso es difícil de juzgar solo por el nombre.
Valores como id, cid, ref, token y session deben revisarse para saber si están relacionados con visualización de la página, seguimiento, identificación individual o autenticación.
No decidas de inmediato que un valor desconocido puede borrarse ni que puede quedarse.
Bórralos uno por uno, revisa en otro navegador o con sesión cerrada, y reduce los valores innecesarios para compartir.
En especial, si hay valores como token, session, sid o key, prioriza no compartir.
Los pequeños valores que quedan dentro de una URL pueden vincularse con registros del servicio u horas de acceso.
En el anonimato, es importante no dejar valores que no entiendes.