Riscos de URL encurtada e redirecionamento
URLs encurtadas são convenientes.
Eles reduzem URLs longas e facilitam o compartilhamento em redes sociais, materiais impressos e mensagens.
Mas, do ponto de vista do anonimato, URLs encurtadas exigem cuidado.
Uma URL encurtada dificulta saber pelo visual qual é o destino final. Além disso, podem entrar em cena logs do serviço de encurtamento, medição de cliques, redirecionamentos e parâmetros de rastreamento.
"É curto, então é seguro" não é verdade.
Ao contrário, há informações que ficaram invisíveis por terem sido encurtadas.
Este artigo organiza como URLs encurtadas e redirecionamentos se relacionam ao anonimato e o que verificar antes de compartilhar.
O que é URL encurtada
URL encurtada é um mecanismo que substitui uma URL longa por outra URL curta.
Quando a pessoa abre a URL encurtada, primeiro acessa o serviço de encurtamento e depois é encaminhada à URL original.
Esse encaminhamento é chamado de redirecionamento.
| Etapa | O que acontece | Ponto a observar no anonimato |
|---|---|---|
| 1 | Clica na URL encurtada | Conecta-se primeiro ao serviço de encurtamento |
| 2 | O serviço registra e decide | Horário do clique, IP, User-Agent etc. podem ser registrados |
| 3 | Encaminha para a URL original | O destino final é aberto |
| 4 | O site de destino processa | O destino também recebe logs de acesso e parâmetros de URL |
Ou seja, ao usar URL encurtada, não só o site de destino, mas também o serviço de encurtamento vira ponto intermediário da comunicação.
Esse ponto é importante.
O que fica difícil de ver com URL encurtada
Em URLs encurtadas, o destino final não é visível pela aparência.
Também fica difícil ver antes do clique quais parâmetros existem na URL final.
| O que fica difícil de ver | Por que é problema |
|---|---|
| Domínio final | É difícil julgar antes do clique a qual site se vai |
| Parâmetros de URL | UTM, IDs de clique e IDs individuais ficam ocultos |
| Número de redirecionamentos | Pode passar por vários intermediários |
| Serviço intermediário | Fica difícil saber qual operador observa o clique |
| Indução a site perigoso | Pelo visual é difícil julgar site falso ou suspeito |
No anonimato, é importante entender o destino antes de abrir.
URLs encurtadas dificultam esse julgamento.
Informações que podem ficar no serviço de encurtamento
Serviços de encurtamento não apenas reduzem strings.
Muitos conseguem medir número de cliques, origem do clique, data e hora, informações do dispositivo e outros dados.
| Informação | Significado | Cuidados para anonimato |
|---|---|---|
| Horário do clique | Quando foi aberto | Pode ser comparado a horário de postagem e logs de ação |
| Endereço IP | De qual rede foi aberto | Uso de ou também pode aparecer em alguns casos |
| User-Agent | Informações de navegador e OS | Vira característica do ambiente de uso |
| Referenciador | De qual página veio | Pode mostrar local de compartilhamento ou origem de tráfego |
| Número de cliques | Quantas vezes foi aberto | Pode inferir alcance de distribuição ou interesse |
Nem todos os serviços de URL encurtada guardam os mesmos logs.
Mas, ao usar URL encurtada, é certo que você adiciona uma terceira parte além do destino ao caminho de comunicação.
No anonimato, aumentar partes confiadas tem significado por si só.
Quando redirecionamentos se acumulam
Ao abrir uma URL encurtada, o encaminhamento nem sempre acontece só uma vez.
Quando publicidade, redes sociais, envio de email, análise de acesso ou afiliados estão envolvidos, pode haver vários redirecionamentos.
| Problema do redirecionamento | O que acontece |
|---|---|
| Vários serviços intermediários | Cada um pode observar o clique |
| Parâmetros são adicionados no caminho | IDs de rastreamento ou campanha podem ser anexados |
| Destino muda por região ou dispositivo | O destino visto por você pode diferir do de outra pessoa |
| URL com prazo | Pode se comportar diferente ao abrir depois |
| Encaminhamento malicioso | Pode levar a site falso ou arquivo perigoso |
Ao compartilhar URL encurtada, mesmo que pareça um único link, na prática ele pode passar por vários serviços.
Por isso, em atividades anônimas e verificações pré-publicação, evite URLs encurtadas quando possível e compartilhe depois de confirmar a URL final.
Verificar antes de abrir URL encurtada
Ao receber uma URL encurtada, há situações em que é melhor não abrir imediatamente.
Em especial, em atividade anônima, apuração, denúncia de irregularidades, comunicação ligada a atividade e envio de arquivos antes da publicação, evite abrir sem confirmar o destino.
| Verificação | Motivo |
|---|---|
| Confirmar o destino expandido | Saber o domínio e a URL final |
| Evitar links de remetentes desconhecidos | Pode ser site falso ou link de rastreamento |
| Não abrir em navegador logado | Evitar conexão com e estado de conta |
| Confirmar em ambiente separado se necessário | Não expor dispositivo ou navegador comum |
| Ver parâmetros da URL final | Confirmar UTM, ID de clique, token etc. |
O método para confirmar o destino varia conforme serviço e navegador.
Ao inserir uma URL encurtada em serviço online de expansão, essa URL e informações de origem de acesso podem ser entregues ao serviço. Em links de alto risco, não insira em serviço externo; confirme a URL oficial com o remetente ou verifique com cuidado em ambiente separado.
Quando segurança importa, às vezes é melhor não clicar e pedir ao remetente a URL oficial.
Quando você compartilha URL encurtada
Ao compartilhar algo anonimamente, trate URLs encurtadas com cautela por princípio.
Quando você usa URL encurtada, informações de quem clicou podem se concentrar no serviço de encurtamento.
Além disso, para quem recebe, o destino fica difícil de entender.
Isso se relaciona não só ao anonimato, mas também à segurança de quem recebe.
Se for compartilhar, confirme:
- Se a URL final não mantém parâmetros de rastreamento desnecessários
- Se o serviço de encurtamento tem análise de cliques
- Se a pessoa que recebe consegue julgar o destino antes de clicar
- Se é realmente necessário usar essa URL encurtada
- Se uma URL longa não pode ser compartilhada sem problema
Em atividades anônimas, priorize a clareza do caminho, não a aparência curta.
Não decidir apenas pela URL encurtada
Evitar URL encurtada não torna a atividade anônima por si só.
Se a URL final mantém parâmetros de rastreamento, o problema permanece.
Se você está logado no destino, o acesso se conecta à conta.
Se abre no navegador comum, Cookie e informações do navegador são enviados.
Mesmo usando VPN ou Tor, as informações visíveis ao serviço de encurtamento ou ao destino apenas mudam; valores de rastreamento da própria URL não desaparecem.
A verificação de URL encurtada é uma parte da verificação geral de rastreamento em URLs.
Resumo
URL encurtada é um mecanismo conveniente para reduzir URLs longas.
Mas, do ponto de vista do anonimato, ele dificulta ver destino final, parâmetros de URL, serviços intermediários e logs de clique.
Ao abrir uma URL encurtada, não só o site de destino, mas também o serviço de encurtamento vira ponto intermediário da comunicação.
Por isso, em atividades anônimas e verificações pré-publicação, não confie diretamente em URLs encurtadas; confirme destino expandido, redirecionamentos, parâmetros e estado de login.
Ao compartilhar, pense também se é necessário usar URL encurtada.
URL curta não é necessariamente URL segura.
No anonimato, priorize entender o destino e as informações que permanecem, não a brevidade.