---
title: "Bloquear acortadores de enlaces que esconden la página"
description: "Un enlace acortado esconde su destino hasta que carga, así que un filtro por nombre no lo ve. La capa de pantalla, no la lista, es la respuesta de verdad."
url: https://tkot.com/journal/bloquear-acortadores-de-enlaces/
canonical: https://tkot.com/journal/bloquear-acortadores-de-enlaces/
author: "Arya Stark"
published: 2026-06-09
updated: 2026-06-09
category: "Loopholes"
tags: ["acortadores", "puertas laterales", "dns", "bloquear porno"]
lang: es
---

# Bloquear acortadores de enlaces que esconden la página

> **TL;DR** Un enlace acortado esconde su destino real tras un envoltorio neutro, así que un filtro por nombre no puede saber adónde lleva hasta que la página ya está cargando. Puedes bloquear por DNS los dominios de acortadores dedicados, pero la respuesta duradera es juzgar el destino cuando se resuelve: el DNS filtrado atrapa la dirección desenvuelta, y una capa de pantalla en el dispositivo atrapa el contenido si la dirección era desconocida. TKO'T combina las dos, gratis, así que un enlace escondido choca igual contra la pared al aterrizar.

Un acortador de enlaces es un enlace con la etiqueta arrancada. La dirección corta no revela nada de adónde lleva, que es exactamente su función en una recaída: un filtro por nombre lee el envoltorio de aspecto inofensivo, no encuentra nada en su lista, y lo deja pasar, y el destino real solo se revela cuando la página empieza a cargar. Bloquear los propios acortadores ayuda un poco; el arreglo duradero es dejar de juzgar el enlace por su nombre y juzgar el destino cuando se resuelve, que es el enfoque por capas sobre el que está construido [TKO'T](/#download), gratis. Defensa pura, nombrando el truco solo para cerrarlo.

## Por qué una lista es ciega ante un enlace envuelto

El filtrado por nombre decide en la dirección: este dominio está en la lista o no está. Un acortador le entrega un dominio que no es el real, así que la decisión se toma con información falsa y sale mal. Para cuando el enlace corto redirige a su destino verdadero, la petición ya está en vuelo. Es el mismo punto ciego estructural que [los enlaces de traductor y de caché](/journal/bloquear-traductores-proxy-y-paginas-en-cache/): la dirección que ve el filtro no es la dirección que importa, así que el filtro no puede ayudar. Y eso no se arregla coleccionando más dominios de acortadores; hay infinitos, y aparece uno nuevo cada vez que se bloquea el último.

## Juzga el destino, en dos sitios

La respuesta es evaluar adónde va el enlace de verdad, lo que ocurre en dos capas después de que se caiga el envoltorio:

**El DNS atrapa la dirección desenvuelta.** Cuando un enlace corto redirige, el dispositivo igualmente tiene que consultar la dirección del destino real, y [un filtro DNS](https://developers.cloudflare.com/1.1.1.1/setup/) ve esa consulta, no el envoltorio, incluso cuando un navegador intenta su propio [DNS cifrado](https://datatracker.ietf.org/doc/html/rfc8484) y tú tienes el resolutor fijado. Así que si el destino es un dominio adulto conocido, el bloqueo DNS lo para en el momento en que la redirección se resuelve, por disfrazado que viniera el enlace original. El acortador le compra al enlace unos milisegundos de anonimato; el DNS cierra la puerta en cuanto aterriza.

**La capa de pantalla atrapa el destino desconocido.** Si el destino es recién creado o no está en ninguna lista, el DNS lo deja pasar, y ahí toma el relevo [la detección en pantalla en el dispositivo](/journal/deteccion-en-pantalla-que-cierra-la-ventana-al-instante/): juzga lo que se renderiza de verdad, así que un enlace escondido hacia una página explícita desconocida choca igual con una ventana cerrada en menos de 80 milisegundos. Entre las dos, el disfraz deja de importar, porque ninguna de las capas dependía nunca de leer el enlace.

## Bloquea también los acortadores dedicados, como limpieza

Hay un caso estrecho para bloquear dominios de acortadores directamente: un puñado de servicios existe en gran parte para ocultar destinos, y el bloqueo por categoría DNS puede quitarlos sin mucho daño colateral. Trátalo como limpieza, no como estrategia, porque los acortadores corrientes van tejidos en enlaces legítimos por toda la web y prohibirlos todos rompe la navegación normal, igual que las reglas demasiado anchas acaban rompiendo la búsqueda diaria que depende de [SafeSearch](https://support.google.com/websearch/answer/510?hl=es). Fija el DNS para que la elección aguante, la misma disciplina de [dejar los DNS quietos](/journal/fijar-los-dns-para-que-no-se-reviertan/), y deja que las capas que juzgan el destino hagan el trabajo de verdad.

El principio es el que se repite por todo [el mapa de puertas laterales](/journal/el-mapa-completo-de-puertas-laterales/): cuando un truco esconde la dirección, deja de pelear en la dirección. Juzga el destino cuando se resuelve y el contenido cuando se renderiza, y una etiqueta arrancada no protege nada.

## Preguntas frecuentes (FAQ)

**¿Cómo bloqueo los acortadores de links que esconden páginas malas?** Puedes bloquear por DNS el puñado de acortadores dedicados a ocultar, pero prohibirlos todos rompe enlaces legítimos por todas partes, así que el arreglo duradero es juzgar el destino y no el envoltorio. Un filtro DNS atrapa la dirección real en cuanto el enlace corto redirige, y una capa de pantalla en el dispositivo atrapa el contenido si esa dirección era desconocida. TKO'T corre las dos, gratis, así que un enlace escondido choca con la pared al aterrizar.

**¿Por qué mi filtro no sabe adónde lleva un enlace acortado?** Porque un filtro por nombre decide con la dirección que le dan, y un acortador le da un envoltorio neutro que no revela nada del destino verdadero. La decisión se toma con información falsa antes de que la redirección se resuelva. El arreglo no es una lista más grande de acortadores, sino evaluar adónde va el enlace de verdad: en la consulta DNS y en la pantalla renderizada.

**¿El filtrado DNS atrapa un enlace acortado hacia un sitio bloqueado?** Normalmente sí, en cuanto redirige: el dispositivo igualmente tiene que consultar la dirección del destino real, y el filtro DNS ve esa consulta y no el envoltorio, así que un destino adulto conocido se bloquea en el momento en que el enlace corto se resuelve. El hueco es un destino recién creado que el DNS no ha clasificado, que es exactamente lo que cubre la capa de pantalla del dispositivo.

**¿Y si el enlace acortado lleva a un sitio nuevo que el DNS no conoce?** Entonces la capa de pantalla es la red de seguridad: juzga lo que se renderiza de verdad y no la dirección, así que un destino explícito desconocido choca igual con una ventana cerrada, viniera disfrazado como viniera el enlace. Por eso juzgar el destino necesita las dos capas: DNS para las direcciones conocidas y detección en pantalla para todo lo nuevo o escondido.

**¿No debería bloquear todos los acortadores por si acaso?** No: los acortadores corrientes van incrustados en enlaces legítimos por toda la web, así que una prohibición total rompe la navegación normal y se desactiva en una semana. Bloquea por DNS solo los servicios dedicados a ocultar, como limpieza, y apóyate en juzgar el destino y el contenido para el resto. La meta es un filtro que conservas, no uno tan ancho que lo apagas.

---

Source: https://tkot.com/journal/bloquear-acortadores-de-enlaces/
Author: Arya Stark
