Acortadores de URL vs. redirecciones: diferencias y riesgos
Tanto los acortadores de URL como las redirecciones llevan al usuario de un enlace a otro destino. Pero funcionan de forma diferente, se usan en contextos distintos y presentan riesgos con matices propios. Entender la diferencia ayuda a evaluar mejor la seguridad de un enlace antes de hacer clic.
¿Qué es un acortador de URL?
Un acortador de URL es un servicio de terceros que toma una URL larga y genera un enlace corto que apunta al mismo destino. Cuando el usuario hace clic en el enlace corto, el servidor del acortador responde con una redirección al destino original.
Servicios conocidos: bit.ly, t.co (Twitter), tinyurl.com, ow.ly, short.io.
Uso legítimo: publicaciones en redes sociales donde el espacio es limitado, campañas de marketing, códigos QR.
Uso malicioso: el acortador oculta completamente la URL de destino. El usuario no puede saber adónde va sin hacer clic o sin un analizador.
¿Cómo funciona técnicamente un acortador?
- El usuario crea el enlace corto en el servicio y proporciona la URL destino.
- El servicio almacena la asociación código corto → URL destino en su base de datos.
- Cuando alguien hace clic, el servidor del acortador responde con un
301o302que apunta a la URL original. - El navegador sigue la redirección automáticamente.
¿Qué es una redirección de servidor?
Una redirección de servidor es una instrucción que devuelve el propio servidor web del sitio cuando el navegador solicita una URL. No interviene ningún servicio externo; la redirección la gestiona el servidor del dominio visitado.
Tipos principales:
- 301 Moved Permanently: El recurso se ha trasladado definitivamente. Los navegadores y motores de búsqueda actualizan sus referencias.
- 302 Found: Redirección temporal. El navegador va al nuevo destino pero sigue consultando la URL original en el futuro.
- Meta refresh: Una etiqueta HTML
<meta http-equiv="refresh">en la página indica al navegador que navegue a otra URL después de N segundos. - JavaScript redirect: Código JavaScript en la página ejecuta
window.location.href = "nueva-url".
Uso legítimo: migraciones de dominio, reestructuración de sitios, procesos de autenticación (login → panel de control), tracking de campañas.
Uso malicioso: open redirects —funciones de redirección en sitios legítimos que aceptan cualquier URL como destino— usados para camuflar el primer salto de una cadena de phishing.
Principales diferencias
| Característica | Acortador de URL | Redirección de servidor |
|---|---|---|
| ¿Quién gestiona la redirección? | Servicio externo (bit.ly, etc.) | El propio servidor del dominio |
| Visibilidad del destino | Completamente oculto en el enlace corto | La URL original es visible; el destino, no |
| ¿Se puede previsualizar? | A veces (ej. bit.ly con +) | Solo con herramientas externas |
| Control del atacante | Cambia el destino en el panel del servicio | Cambia el destino en el servidor propio |
Lo que tienen en común: ocultan el destino real
La característica compartida que los hace útiles para el phishing es que ambos crean una brecha entre el enlace visible y el destino real. El usuario ve un enlace; el destino puede ser completamente diferente.
¿Cuándo es seguro un acortador?
Un acortador en sí no es peligroso; el riesgo depende del destino. Un enlace de bit.ly enviado por una marca conocida en su cuenta oficial verificada tiene riesgo bajo. El mismo tipo de enlace en un SMS inesperado de un remitente desconocido tiene riesgo alto.
¿Cuándo es segura una redirección?
Las redirecciones 301/302 que gestionan dominios conocidos —en una migración de sitio, en un proceso de login estándar— son normales. El riesgo aumenta cuando la URL tiene un parámetro url= o redirect= que acepta cualquier destino externo (open redirect).
Cómo comprobar ambos con 2check.click
Pegue cualquier enlace corto o URL con redirección en 2check.click. El analizador sigue todos los saltos automáticamente y muestra el destino final, su antigüedad, si es un dominio conocido o sospechoso, y las señales de riesgo detectadas.
Compruebe un enlace sospechoso
Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.
Preguntas frecuentes
¿Son peligrosos los servicios de acortamiento como bit.ly o t.co?
Los servicios en sí no son peligrosos. El riesgo está en el destino al que apuntan. bit.ly y t.co son plataformas legítimas usadas por millones de empresas, pero también por atacantes para ocultar URLs de phishing.
¿Qué es un open redirect y por qué es peligroso?
Un open redirect es una función de redirección en un sitio web legítimo que acepta como parámetro cualquier URL externa. Por ejemplo: empresa-conocida.com/ir?destino=https://phishing.xyz. El atacante lo usa para que el primer salto visible sea un dominio de confianza. Más información: Cadenas de redirección explicadas.
¿Puede un acortador de URL cambiar el destino después de que yo hice clic?
Técnicamente sí: quien controla el acortador puede cambiar el destino en cualquier momento. Esto significa que un enlace que hoy lleva a un sitio legítimo podría mañana llevar a uno malicioso, aunque la URL corta no haya cambiado.
¿Es más seguro el acortador de mi empresa que bit.ly?
Un acortador corporativo propio tiene la ventaja de que los destinos son controlados por la propia organización. Sin embargo, si el sistema de gestión del acortador es comprometido, todos los enlaces quedan en manos del atacante.
¿Debo desconfiar de todos los enlaces cortos?
No de todos, pero sí tratarlos con más precaución que los enlaces directos. Cuando reciba un enlace corto inesperado —especialmente en SMS, WhatsApp o correo no solicitado— analícelo antes de hacer clic.