Ofuscador de enlaces

Genera el código para ofuscar enlaces en tu web con 8 técnicas distintas. La herramienta produce el código listo para pegar en WordPress, page builders (Divi, Elementor, Bricks), sitios estáticos o cualquier CMS. Para cada método se muestra una comparativa de eficacia frente a scrapers, bots de búsqueda y otros vectores, y se explica dónde y cómo implementarlo en tu plataforma.

  • 8 métodos representativos agrupados por filosofía: sin JavaScript, JS inline, script global, HTML alternativo
  • Código generado en tiempo real con vista previa funcional
  • Comparativa de eficacia frente a 5 vectores (scrapers básicos, bots serios, impacto SEO, sin JS, accesibilidad)
  • Guía de implementación específica para WordPress (Gutenberg), page builders, sitios estáticos, Webflow y otros
  • Aviso explícito sobre prácticas que constituyen cloaking y son penalizadas por Google
  • 100 % cliente: la URL nunca sale de tu navegador
  • Gratis, sin registro, sin marca de agua

Qué es ofuscar un enlace y para qué sirve

Ofuscar un enlace es transformar el código HTML de un enlace para que la URL destino no aparezca legible en el HTML estático de la página. La URL solo se reconstruye en el navegador del visitante en el momento de hacer click. Los motivos para hacerlo varían:

  • Anti-spam de emails y teléfonos: los bots que recolectan direcciones para listas de spam suelen buscar patrones simples (@, http). Ofuscar los hace inútiles frente a estos.
  • Dificultar el scraping de la competencia: si publicas listas de partners, proveedores, productos afiliados o cualquier dato sensible, ofuscar los enlaces frena al scraper casual.
  • Ocultar enlaces de afiliación frente al lector casual: cuando recomiendas un producto con tu código de afiliado, hay quien prefiere no mostrar la URL completa por estética o por evitar que el lector copie y pegue saltándose el código.
  • Controlar qué se considera enlace: técnicas como el botón onclick o el form POST son interpretadas por Google de forma diferente que un <a> tradicional. Pueden usarse para no transferir autoridad a destinos sensibles.
  • Importante: existen usos de la ofuscación que cruzan la línea del black hat. El caso típico es el cloaking: presentar a Googlebot un destino distinto del que ve el usuario humano. Esto viola directamente las directrices de calidad de Google y conlleva penalizaciones severas. La herramienta solo genera código neutro; el uso responsable es tuyo.

Cómo usar el ofuscador

  1. Pega la URL destino real en el campo de arriba.
  2. Elige un método en la lista de la izquierda. La descripción te ayuda a entender qué hace cada uno.
  3. Ajusta las opciones específicas del método: anchor text del enlace, atributos rel (nofollow, sponsored, etc.), si abrir en pestaña nueva, parámetros propios del método (clave XOR, tamaño de fragmento, algoritmo, etc.).
  4. Copia el código generado. Si el método incluye un script global, hay dos bloques numerados con instrucciones distintas: uno va al <head> del sitio una sola vez, el otro al post donde quieras el enlace.
  5. Mira la vista previa para asegurarte de que el enlace renderiza como esperas, y la eficacia para ver qué te protege cada método.
    Consulta la guía de implementación para tu CMS o plataforma (WordPress Gutenberg, page builders, sitios estáticos, Webflow, otros) y pega el código donde corresponda.

Los 8 métodos disponibles para ofuscar enlaces

Sin JavaScript

Entidades HTML

Cada carácter de la URL se sustituye por su código numérico HTML (&#104; en lugar de h). El navegador interpreta las entidades como texto normal, pero las regex de scrapers simples que buscan http o @ no encuentran nada. Es la técnica más sencilla, funciona sin JavaScript y respeta la accesibilidad (el atributo href sigue siendo un href válido).

Percent encoding

Los caracteres del path y de los parámetros de la URL se codifican como %NN. El navegador decodifica al lanzar la petición HTTP. El dominio queda obligatoriamente legible (es necesario para que el navegador resuelva el DNS), así que solo se ofusca el path y el query string. Útil contra scrapers que buscan rutas específicas o parámetros sensibles.

JavaScript inline

Base64 + atob

La URL se codifica en Base64 (cadena ilegible) y un decoder JavaScript en el propio onclick del enlace la reconstruye al hacer click. Es el método más extendido y limpio cuando se acepta usar JavaScript. Su mayor pega: cualquiera con la consola del navegador hace atob(‘aHR0…’) y obtiene la URL al instante.

XOR con clave

Cada byte de la URL se mezcla mediante operación XOR contra una clave numérica configurable (1–255). El resultado se almacena como hex en un data-* attribute y se decodifica con un script inline. Visualmente más opaco que Base64 (no se reconoce como codificación estándar), pero la clave va en el mismo HTML, así que es igualmente reversible.

Concatenación fragmentada

La URL se parte en fragmentos pequeños que se concatenan en JavaScript al hacer click (‘htt’ + ‘ps:’ + ‘//a’ + ‘maz’ + ‘on.es’ + …). No hay codificación, solo fragmentación. Útil contra scrapers que buscan dominios completos con regex, pero trivial de revertir incluso a ojo.

Script global

Script + data-attrs

El decoder vive una sola vez en el <head> del sitio. Después, cada enlace ofuscado es un <a data-x=»…»> ligero, sin onclick ni script repetido en cada uno. Recomendado si vas a ofuscar muchos enlaces en muchos posts. Soporta tres algoritmos de decodificación (Base64, XOR, Reverse) y un nombre de data-attribute configurable.

HTML alternativo

Botón onclick

En lugar de un <a>, un <button> con manejador onclick. Google y la mayoría de scrapers entienden los enlaces <a> mejor que los botones, así que esta técnica les pasa más desapercibida. Inconveniente: rompe la semántica HTML y empeora la accesibilidad (los lectores de pantalla pueden no anunciarlo como enlace).

Form POST

La URL destino va en el atributo action de un formulario, no en un href. Al hacer click, se envía una petición POST en lugar de GET. Vector que Google y los crawlers raramente siguen, así que es eficaz para no transferir autoridad SEO. Permite también pasar parámetros ocultos al destino mediante <input type=»hidden»>. Ocupa más espacio visual que un enlace normal y rompe la semántica.

Eficacia real de cada técnica

Ningún método ofusca completamente una URL frente a bots modernos. Todas las técnicas client-side mostradas en esta herramienta pueden revertirse trivialmente con un navegador headless tipo Puppeteer o Playwright, que es lo que usan Googlebot y los scrapers serios desde hace años. La ofuscación efectiva contra estos solo puede hacerse con técnicas server-side, que están fuera del alcance de esta herramienta porque redirigir no es ofuscar.

Lo que sí consiguen las técnicas de aquí es:

  • Frenar al scraper básico (curl + regex, herramienta tipo «extrae emails de una web») en prácticamente el 100 % de los casos.
  • Reducir el impacto en recolección automática de direcciones (spam bots, scrapers de afiliados).
  • Hacer que el lector casual no copie/pegue la URL final del HTML (aunque el click la revela).

Lo que no consiguen:

  • Engañar a Google. Googlebot ejecuta JavaScript desde 2019 y reconstruye la URL final.
  • Impedir el análisis de competencia hecha con Puppeteer, Selenium o similares.
  • Evitar penalizaciones de SEO si la intención es cloaking real (mostrar a Google una URL distinta de la del usuario).

Preguntas frecuentes sobre ofuscar enlaces

¿Por qué no incluís métodos server-side (.htaccess, PHP redirect)?

Porque redirigir un enlace no es ofuscarlo. Una redirección server-side hace que tu URL pública sea limpia (tusitio.com/ir/producto) y oculta el destino real al servidor. Es una técnica distinta y útil, pero pertenece a la familia del link cloaking de afiliación, no a la ofuscación HTML/JS. Si quieres redirecciones, usa plugins como Pretty Links, Redirection o ThirstyAffiliates (en WordPress) o las reglas de tu hosting.

 

¿Por qué no incluís servicios externos tipo Bit.ly?

Para no depender de terceros. Los acortadores como Bit.ly, TinyURL o Rebrandly funcionan, pero introducen una dependencia: si el servicio cae, tus enlaces se rompen. Y el dominio del acortador (bit.ly/abc) sigue siendo visible, así que la ofuscación es parcial. Esta herramienta genera código que se queda en tu propio dominio.

¿Funcionan estas técnicas contra Googlebot?

No. Googlebot ejecuta JavaScript desde 2019 y ha mejorado su capacidad cada año. Reconstruye la URL final igual que un navegador normal. Si tu objetivo es no pasar autoridad SEO a un enlace, usa rel=»nofollow» o rel=»sponsored»; es estrictamente más efectivo y limpio que cualquier ofuscación. Las técnicas de esta herramienta sí son efectivas contra scrapers tipo curl/wget/requests sin headless.

¿Cómo se mide la eficacia que aparece en cada método?

Es una valoración cualitativa basada en cómo se comporta cada técnica frente a 5 vectores: scrapers básicos (curl/regex), bots serios (Puppeteer/Googlebot), impacto SEO (qué interpreta Google), funcionamiento sin JavaScript (algunos usuarios lo desactivan, Tor Browser por defecto), y accesibilidad (lectores de pantalla). Verde indica protección o aspecto positivo, ámbar indica protección parcial, rojo indica que no protege.

¿La información de mis URLs se guarda en algún servidor?

No. Todo se ejecuta en tu navegador. La URL que escribes y el código generado nunca salen de tu equipo. Puedes desconectar internet tras cargar la página y la herramienta sigue funcionando.

¿Puedo usar estas técnicas para ocultar enlaces de afiliado al lector?

Sí, es legítimo. Tienes que cumplir la normativa (avisar de que tu sitio contiene enlaces de afiliación, según la Directiva 2005/29/CE en la UE y normativas equivalentes en otros países), pero la ofuscación técnica del enlace en sí no es ilegal ni penalizada. Lo que sí está penalizado es engañar a Google sobre el destino real (cloaking).

¿Cuál de las 8 técnicas es la "mejor"?

Depende de qué quieras conseguir. Para emails y teléfonos en webs, entidades HTML es la mejor (sin JS, sin romper accesibilidad). Para enlaces de afiliados con muchos posts, Script + data-attrs escala bien. Para no pasar autoridad SEO sin ofuscar la URL, lo mejor es nofollow/sponsored (no necesitas esta herramienta). Para tareas puntuales con un solo enlace, Base64 + atob es el más limpio.

Esta herramienta ha sido creada por Mario Sánchez, especialista SEO en Zaragoza.