Ir al contenido
cutty.dev
All posts

Seguridad de los enlaces con contraseña: qué ocurre al hacer clic

Puedes añadir una contraseña a tu enlace corto. Te mostramos lo que ocurre detrás de escena, sin entrar en tecnicismos, y por qué vale la pena hacerlo.

El enlace corto con contraseña es simple. Ingresas la contraseña y otra persona debe ingresarla para ver a dónde lleva ese enlace. Pero hay más detrás. Te mostramos qué, por qué y cuándo resulta útil.

¿Por qué proteger los enlaces con contraseña en absoluto

Tres contextos en los que tiene sentido:

Contenido que deseas mostrar solo a personas específicas. Tarifa para clientes premium, documento beta antes del anuncio público, material de formación para personas que han pagado por el curso. Sin contraseña, alguien podría encontrar este enlace en un motor de búsqueda o recibirlo de segunda mano.

Contenido de corta duración que deseas cerrar. Oferta especial para el viernes, material de la conferencia que estará disponible solo para los participantes. La contraseña convierte el enlace en un acceso controlado: tienes la seguridad de que el visitante recibió la contraseña directamente de ti, no de terceros.

El contenido que publicas públicamente pero quieres controlar. Tu lista completa de precios, tu proceso interno de producto, tu oferta al cliente. El enlace se puede enviar, pero sin la contraseña, nadie podrá acceder.

Qué sucede cuando configuras una contraseña

Escribes la contraseña en el formulario de creación del enlace. La contraseña se cifra inmediatamente — se convierte en una cadena de caracteres que no se puede leer. El hecho de que la contraseña sea "secret123" desaparece en el momento en que haces clic en "Guardar". Ni siquiera yo, como administrador del sitio, puedo leerla.

Lo que se guarda en la base de datos: no la contraseña, sino una huella digital (técnicamente un "hash") — una cadena que coincide con tu contraseña solo si alguien introduce exactamente la misma. Si alguien se infiltra en nuestra base de datos, solo obtendrá estas cadenas — no las contraseñas de tus enlaces.

Utilizamos un estándar de la industria utilizado por la mayoría de los sistemas de inicio de sesión en la red. Es intencionalmente lento de calcular — para que un hacker que robase la base de datos tuviera que esperar millones de años para adivinar las contraseñas.

Qué sucede cuando alguien hace clic en tu enlace

  1. El visitante ve la pantalla de bloqueo en lugar de un redireccionamiento directo. Un breve mensaje "este enlace está protegido por contraseña" y un campo para escribir.
  2. Introduce la contraseña y hace clic en "Desbloquear". La contraseña se verifica en el servidor contra el hash almacenado.
  3. Si coincide — el visitante recibe un token de sesión válido por 24 horas. Durante las siguientes 24 horas puede volver a este enlace sin introducir la contraseña. No tiene que recordarla.
  4. Si no coincide — mensaje de error. Después de cinco intentos fallidos desde la misma dirección IP — bloqueo durante cinco minutos. Los bots no podrán acceder por fuerza.

Lo que NO hacemos

  • No registramos contraseñas en texto claro. Nunca. Ni siquiera en los registros de depuración.
  • No enviamos contraseñas por correo electrónico. Incluso si el visitante olvida su contraseña, nosotros no podemos recordársela — porque nosotros tampoco la sabemos. Debes enviarle la contraseña nuevamente desde la cuenta desde la que la recibió.
  • No enviamos contraseñas a terceros. Ningún proveedor externo de analítica, marketing o IA tiene acceso a estos datos.

Consejos prácticos

Crea contraseñas que no sean obvias. El nombre de la empresa + el año de fundación es una mala idea. El generador de contraseñas del navegador lo hace mejor.

No envíes la contraseña por el mismo canal que el enlace. Si envías el enlace por correo electrónico, envía la contraseña por SMS. O viceversa. De esta manera, un compromiso en un canal de comunicación no dará acceso completo.

Puedes tener varios enlaces con la misma URL de destino pero con diferentes contraseñas. Útil cuando das acceso a diferentes personas: puedes bloquear un enlace cuando ese acceso deba finalizar, sin afectar a los demás.

La contraseña se puede cambiar sin crear un nuevo enlace. En el panel, "Editar" → ingresa la nueva contraseña. Todas las sesiones activas de 24 horas expirarán de inmediato, y cada visitante deberá ingresar la nueva contraseña.

Cuando la contraseña NO es suficiente

La contraseña protege contra el índice público y el acceso accidental. No protege contra una persona que conoce la contraseña y desea compartirla. Si tu escenario requiere "solo esta persona específica puede verlo", necesitas además inicio de sesión, cuentas de usuario y autorización. Esto es un nivel superior de funcionalidad (planeado en el futuro plan Pro).

Para el 95% de los casos, "no quiero que alguien lo vea por casualidad" — una contraseña es suficiente.

Prueba tú mismo — al crear el enlace, selecciona "Opciones avanzadas" → "Añadir contraseña".