2check.click

4 min de lectura Actualizado: junio de 2026

Vulnerabilidades de redirección abierta explicadas

Una vulnerabilidad de redirección abierta (open redirect) es una función —o un fallo— en un sitio web legítimo que permite redirigir al usuario a cualquier URL externa. Los atacantes la explotan para que un enlace parezca provenir de un dominio de confianza cuando en realidad conduce a una página de phishing.

¿Cómo se ve un open redirect?

Muchos sitios incluyen parámetros de redirección en sus URLs para gestionar flujos de inicio de sesión, avisos de salida o integraciones SSO. El formato típico es:

  • https://banco-real.com/login?next=https://phishing.xyz/falso-login
  • https://google.com/url?q=https://phishing.xyz
  • https://empresa.com/salir?redirect_to=https://robo-credenciales.com

El enlace comienza con un dominio conocido y de confianza. El destino real aparece dentro del parámetro y puede apuntar a cualquier sitio.

Por qué los sitios legítimos tienen estas redirecciones

Los open redirects no siempre son errores de seguridad; a veces se introducen intencionalmente por razones técnicas:

  • Flujos SSO: Tras autenticarse, el sistema necesita devolver al usuario a la página que estaba visitando antes del login.
  • Avisos de salida: Algunos portales muestran una pantalla intermedia ("vas a salir de nuestro sitio") antes de redirigir a un enlace externo.
  • Seguimiento de campañas: Los sistemas de marketing registran el clic antes de enviar al usuario al destino final.

El problema surge cuando el parámetro acepta cualquier URL sin validar que pertenezca al propio dominio.

Cómo los atacantes abusan de esta vulnerabilidad

El esquema es sencillo: el atacante construye un enlace que empieza con un dominio de confianza y coloca la URL maliciosa en el parámetro de redirección. Las víctimas y los filtros de seguridad ven primero el dominio legítimo y confían en el enlace.

  • Los filtros de correo electrónico analizan el dominio al inicio de la URL y lo consideran seguro.
  • El usuario lee banco-real.com en la barra de direcciones al pasar el cursor sobre el enlace y hace clic sin sospechar.
  • El navegador sigue la redirección y llega al sitio de phishing en menos de un segundo.

Servicios con millones de usuarios como Google, LinkedIn, Microsoft y muchos portales de administraciones públicas han tenido open redirects en el pasado. Algunos se corrigieron; otros siguen activos.

Ejemplos con sitios internacionales y de España

Este tipo de vulnerabilidad se ha encontrado en portales gubernamentales, plataformas educativas y servicios bancarios de distintos países. Un atacante podría construir un enlace como:

  • https://sede.serviciopublico.gob.es/tramites?volver=https://phishing.es/robo
  • https://universidad.edu/acceso?redir=https://fake-login.xyz

El dominio oficial al inicio genera una falsa sensación de seguridad.

Cómo detectar un open redirect en una URL

Busque estos parámetros en los enlaces que reciba:

  • ?url=, ?next=, ?redirect=, ?goto=, ?return=, ?redir=
  • ?continue=, ?target=, ?link=, ?salir=

Si el valor de ese parámetro es una URL completa que apunta a un dominio diferente al del sitio principal, puede estar ante un open redirect. El dominio real al que llegará es el del parámetro, no el del inicio del enlace.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

Si el enlace empieza por google.com, ¿es seguro?

No necesariamente. Google tiene parámetros de redirección como /url?q= que pueden enviarle a cualquier sitio externo. El inicio de la URL no garantiza que el destino sea seguro; lo que importa es adónde apunta el parámetro de redirección.

¿Por qué los sitios no cierran estas vulnerabilidades?

Algunos no son conscientes del problema. Otros lo tienen integrado por diseño y no lo consideran un riesgo prioritario. En ciertos casos, corregirlo rompería flujos de autenticación o integraciones con terceros, lo que hace que la corrección sea compleja.

¿Un parámetro ?next= o ?redirect= en una URL siempre es peligroso?

No siempre. Si el valor del parámetro apunta al mismo dominio del sitio, es un comportamiento normal. El riesgo aparece cuando el parámetro dirige a un dominio externo y diferente al del enlace principal.

¿Cómo puede ayudarme 2check.click con los open redirects?

El analizador detecta parámetros de redirección comunes, sigue la cadena de redirecciones reales y muestra el destino final. Así puede ver adónde lleva realmente un enlace antes de hacer clic.

¿Es ilegal construir un enlace que use un open redirect de otro sitio?

Usar un open redirect existente para engañar a las víctimas forma parte de un ataque de phishing, que es ilegal en la mayoría de países. La vulnerabilidad en sí no es ilegal, pero explotarla con fines fraudulentos sí lo es.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados