2check.click

5 min de lectura Actualizado: junio de 2026

Parámetros de seguimiento en URLs: qué son y cuándo son peligrosos

Los parámetros de seguimiento son fragmentos de información añadidos al final de una URL, después del signo ?, que permiten a sitios web y sistemas de marketing saber de dónde vienen los visitantes y qué acciones realizan. La mayoría son completamente inofensivos, pero algunos patrones deben generar precaución.

Qué son los parámetros UTM

UTM son las siglas de Urchin Tracking Module, un estándar creado por Google para medir campañas de marketing. Son los parámetros más comunes que verá en enlaces de newsletters, redes sociales o anuncios:

  • ?utm_source=newsletter — origen del clic (newsletter, Twitter, Facebook…)
  • &utm_medium=email — canal utilizado (email, cpc, organic…)
  • &utm_campaign=oferta-verano-2026 — nombre de la campaña
  • &utm_content=boton-principal — variante del contenido en tests A/B
  • &utm_term=seguridad+online — palabra clave en campañas de búsqueda

Ver estos parámetros en un enlace de una empresa conocida es completamente normal. Simplemente indican que la empresa mide el rendimiento de sus comunicaciones.

Otros parámetros de seguimiento comunes

  • ?ref=homepage — identificador de referido o afiliado
  • &click_id=a1b2c3 — ID único de clic para sistemas de afiliación
  • &session_id=xyz789 — token de sesión para mantener el estado del usuario
  • &fbclid=… — ID de clic de Facebook
  • &gclid=… — ID de clic de Google Ads
  • &mc_eid=… — ID de suscriptor de Mailchimp

Cuándo los parámetros de seguimiento son legítimos

Los parámetros de seguimiento son herramientas estándar del marketing digital. Son legítimos cuando:

  • El dominio principal de la URL pertenece claramente a la empresa que le contacta.
  • Los parámetros son los habituales de plataformas conocidas (utm_, fbclid, gclid).
  • La URL sin los parámetros lleva al sitio esperado.
  • Provienen de una comunicación que usted solicitó o espera recibir.

Cuándo los parámetros de seguimiento son sospechosos

Los parámetros se vuelven preocupantes en estos casos:

  • El dominio no coincide con la marca: Si recibe un supuesto correo de su banco pero el enlace lleva a banco-ofertas.xyz?utm_source=email, los parámetros UTM no hacen que el dominio sea legítimo.
  • Parámetros de redirección a dominios externos: ?url=, ?redirect=, ?goto= que apuntan a otro sitio son una señal de open redirect.
  • Tokens de sesión en un primer contacto: Si recibe un enlace no solicitado con un session_id o token= ya incluido, el atacante puede estar intentando que acceda con credenciales preconfiguradas.
  • Parámetros con datos personales visibles: ?email=su.nombre@correo.com&nombre=Juan en un enlace no solicitado indica que el atacante tiene sus datos y los está usando para personalizar el ataque.
  • URL extremadamente larga con valores codificados: Cadenas de texto en Base64 u otros formatos dentro de los parámetros pueden ocultar URLs maliciosas.

Qué puede revelar el tracking sobre usted

Cuando hace clic en un enlace con parámetros de seguimiento, el servidor receptor puede registrar:

  • Que usted hizo clic y en qué momento exacto.
  • Su dirección IP y, a partir de ella, su ubicación aproximada.
  • Su sistema operativo y navegador (User Agent).
  • El ID único que le fue asignado, confirmando que su cuenta de correo está activa.

Para empresas legítimas esto es marketing estándar. Para atacantes, confirma que su dirección es válida y que abrió el mensaje, lo que los anima a enviar ataques más dirigidos.

Cómo analizar una URL con muchos parámetros

  • Fíjese en el dominio antes del primer ?: ese es el sitio real al que se conecta.
  • Busque parámetros como url=, redirect= o next= que apunten a otro dominio.
  • Si elimina todos los parámetros (todo lo que va desde el ? en adelante), ¿la URL base pertenece al sitio esperado?

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

Si elimino los parámetros UTM de un enlace, ¿cambia el destino?

En el caso de los parámetros UTM normales, no: el contenido de la página es el mismo, solo deja de registrarse el origen del clic. Sin embargo, si el enlace usa un parámetro de redirección como ?url=, eliminarlo puede cambiar completamente el destino o mostrar un error.

¿Una URL muy larga con muchos parámetros es automáticamente peligrosa?

No necesariamente. Los enlaces de campañas de marketing pueden ser muy largos. Lo importante es el dominio base (antes del ?) y si hay parámetros que apunten a dominios externos. La longitud por sí sola no es un indicador definitivo.

¿Qué es un tracking pixel y es peligroso?

Un tracking pixel es una imagen de 1×1 píxel cargada desde un servidor externo al abrir un correo o página web. Permite saber que abrió el mensaje, su IP y su dispositivo. Los usan empresas legítimas y también atacantes. No descarga malware por sí solo, pero confirma que su dirección está activa.

¿Los parámetros de afiliado como ?ref= son un riesgo?

En general no. Los programas de afiliados son legítimos y ampliamente usados. El riesgo aparece si el dominio principal no es de confianza o si el parámetro oculta una redirección a otro sitio.

¿Cómo sé si un token en la URL me identifica personalmente?

Si el enlace llegó en un correo personalizado (con su nombre o email), probablemente el token que contiene está vinculado a su identidad en el sistema de quien envió el mensaje. No es peligroso en sí en comunicaciones legítimas, pero en un mensaje no solicitado indica que el atacante tiene sus datos.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados