Verificador de Redirecciones Online Gratis

Q: ¿Cuán larga debe ser una cadena de redirección?

Cada salto añade una ida y vuelta — TCP más TLS más HTTP — y aumenta la probabilidad de que la cadena se rompa. Los navegadores y clientes HTTP imponen límites máximos para evitar bucles: Chromium y Firefox cap a 20 redirecciones, Safari a 16, curl por defecto 50 (configurable vía --max-redirs), la biblioteca requests de Python por defecto 30. RFC 9110 §15.4 dice que los clientes SHOULD limitar la longitud pero no manda un número. Desde una perspectiva de rendimiento, cada redirección añade aproximadamente 50–200 ms según geografía y resumen TLS. La mejor práctica es mantener las cadenas a un salto máximo — los casos legítimos típicos son HTTP a HTTPS (preload HSTS lo hace omitible) y apex a www (o viceversa) para canonicalización.

Q: ¿Qué es HSTS preload y cómo interactúa con las redirecciones?

HSTS (HTTP Strict Transport Security, RFC 6797 Hodges, Jackson y Barth, 2012) indica a los navegadores que actualicen automáticamente todas las peticiones HTTP siguientes para un dominio a HTTPS. Una vez que un dominio está precargado en la lista de preload HSTS de Chromium (hstspreload.org, usada también por Firefox, Safari y Edge), los navegadores rechazan HTTP plano por completo — lo que significa que la primera redirección HTTP a HTTPS se omite: el navegador salta directo a HTTPS internamente sin tocar nunca el endpoint HTTP. Esto elimina un salto de redirección y cierra una ventana man-in-the-middle durante la actualización TLS inicial. La inclusión en preload requiere un max-age de al menos un año (31536000 segundos), la directiva includeSubDomains y la directiva preload en la cabecera HSTS. La guía de despliegue de hstspreload.org recomienda escalar max-age por etapas (5 minutos → 1 semana → 1 mes) antes de enviar el dominio, pero esa progresión es orientativa, no un requisito estricto de admisión. Una vez añadido, la eliminación lleva semanas — diseña en consecuencia.

Q: ¿Qué es una vulnerabilidad de redirección abierta?

Una redirección abierta (CWE-601 según MITRE, dentro de OWASP A01:2021 Broken Access Control) ocurre cuando una aplicación web acepta un parámetro URL controlado por el usuario y redirige sin validar — por ejemplo example.com/redirect?url=malicioso.com. Los atacantes explotan esto en campañas de phishing: el dominio padre confiable en la URL da credibilidad mientras el destino real es malicioso. Vectores comunes incluyen flujos de redirect-tras-login, píxeles de tracking en email y parámetros 'continue to'. Mitigaciones incluyen mantener una allowlist de destinos aceptables, rechazar URLs absolutas en la entrada del usuario y validación por allowlist contra el mismo origen. Rechaza esquemas distintos de https/http; específicamente rechaza userinfo, javascript:, y data:. La entrada del catálogo CWE fue añadida por MITRE en 2007 (CWE Draft 6).

Q: ¿Por qué esta herramienta muestra cadenas distintas a mi navegador?

Los navegadores añaden capas que el HTTP en crudo no ve: actualizaciones HSTS (descritas arriba), cookies que afectan a la lógica de redirección del servidor, detección geo-IP en el edge que varía el routing, caché de Service Worker que intercepta peticiones por completo y negociación HTTP/3 que puede saltar vía alt-svc. Esta herramienta sigue las redirecciones desde un Cloudflare Worker sin cookies de navegador, sin estado HSTS y sin capas de service worker — el resultado es lo que ve un cliente HTTP frío y limpio. Si tu navegador muestra una cadena distinta es normalmente por actualizaciones HSTS (no visibles en el protocolo en crudo) o lógica de servidor basada en cookies. Para igualar la vista de esta herramienta en tu navegador: abre la pestaña Network de DevTools con 'Disable cache' y 'Preserve log' activados, luego prueba en una ventana de incógnito o privada.

Trazar Cadenas de Redirección HTTP — 301, 302, 307, 308 + HSTS

Las redirecciones HTTP (códigos de estado 3xx) indican a los clientes que reintenten la misma petición en otra URL. RFC 9110 §15.4 (Fielding, Nottingham y Reschke, 2022) define cinco tipos: 301 Moved Permanently, 302 Found, 303 See Other, 307 Temporary Redirect y 308 Permanent Redirect. La distinción práctica es la conservación del método — 307 y 308 conservan el método HTTP original (POST sigue siendo POST), mientras que 301/302/303 históricamente convertían POST a GET al reintentar, perdiendo el cuerpo de la petición. Google Search Central (Gary Illyes, 2016) confirmó que las redirecciones 30x ya no pierden PageRank para SEO, así que la elección entre 301 y 302 es ahora sobre semántica HTTP, no ranking. Esta herramienta traza la cadena completa salto a salto desde un servidor edge de Cloudflare: código de estado, cabeceras de respuesta, URL destino en cada etapa y destino final. Los dominios con HSTS-preload omiten la primera redirección HTTP→HTTPS por completo (RFC 6797 Hodges, Jackson y Barth, 2012). Útil para auditorías de migración SEO, depurar flapping www↔apex, detectar cadenas mixtas HTTP/HTTPS e identificar vulnerabilidades de redirección abierta (CWE-601 / OWASP A01:2021).

Cómo comprobar una cadena de redirección

Introduce la URL inicial — la herramienta sigue cada respuesta 3xx desde un servidor edge de Cloudflare.
Cada salto muestra código de estado, URL destino y cabeceras clave (Location, Strict-Transport-Security, Set-Cookie).
Revisa la URL final para confirmar que coincide con tu destino esperado — y que la ruta no fuga por saltos no deseados (acortadores de tracking, www↔apex, HTTPS mixto).
Si ves >2 saltos o mezcla HTTP+HTTPS, audita las reglas de redirección upstream (DNS, CDN, aplicación) antes de fiarte de la cadena en producción.

Casos de uso comunes

Auditar una migración HTTP→HTTPS para comprobar que la actualización es un 301/308 permanente (no un 302/307 temporal que rompe la continuidad SEO).
Detectar cadenas accidentales que pasan por www→apex→www antes de llegar a la URL canónica final.
Verificar que un short link de marketing resuelve a la landing esperada sin saltos de tracking extra.
Investigar un reporte de vulnerabilidad de redirección abierta (CWE-601) trazando parámetros URL controlados por el usuario a través de la cadena.

Preguntas frecuentes

¿Cuál es la diferencia práctica entre 301, 302, 303, 307, 308?

RFC 9110 §15.4 define cinco tipos de redirección 3xx. 301/302/303 históricamente convertían POST→GET; 307/308 conservan método+cuerpo. Desde 2016 Google trata todas las 30x igual para PageRank (declaración de Gary Illyes), así que la elección es sobre semántica HTTP, no SEO.

¿Cuán larga debe ser una cadena de redirección?

Apunta a 1 salto máximo. Los navegadores cap a 16-20 redirecciones (Chromium 20, Safari 16). Cada salto añade ~50-200 ms; las cadenas multi-salto componen el coste y se rompen con más facilidad.

¿Qué es HSTS preload y cómo interactúa con las redirecciones?

El preload HSTS (RFC 6797) indica al navegador que actualice HTTP plano a HTTPS internamente sin redirección. Una vez precargado (hstspreload.org), el primer salto HTTP→HTTPS se omite por completo — eliminando una ida y vuelta y una ventana MITM.

¿Qué es una vulnerabilidad de redirección abierta?

CWE-601 (OWASP A01:2021): un endpoint de redirección acepta una URL controlada por el usuario sin validación, permitiendo a atacantes forjar URLs de phishing que parecen de tu dominio pero rutean a sitios maliciosos. Mitigar con allowlists o restricciones de mismo-origen.

¿Por qué esta herramienta muestra cadenas distintas a mi navegador?

Los navegadores añaden actualizaciones HSTS, cookies, service workers y routing geo-IP. Esta herramienta sigue redirecciones desde un Cloudflare Worker limpio — lo que ve un cliente HTTP frío. Para igualar: abre DevTools Network con 'Disable cache' + 'Preserve log' en ventana de incógnito.

Por qué importan las cadenas de redirección, qué permiten los clientes y cómo las abusan los atacantes

Cada salto de redirección es una ida y vuelta — TCP más TLS más HTTP — añadiendo 50-200 ms según geografía y resumen de sesión TLS. Las cadenas componen este coste; una de 5 saltos puede añadir cerca de un segundo entero al tiempo de primer byte. RFC 9110 §15.4 dice que los clientes SHOULD limitar la longitud de cadena pero no manda un número; en la práctica Chromium y Firefox cap a 20 redirecciones, Safari a 16, curl por defecto 50 (--max-redirs configurable) y la biblioteca requests de Python por defecto 30. Más allá del límite, los navegadores muestran 'demasiadas redirecciones' y paran. Desde una perspectiva de seguridad, las redirecciones abiertas (CWE-601 según MITRE; categoría OWASP A01:2021 Broken Access Control) ocurren cuando una aplicación acepta un parámetro URL controlado por el usuario para redirigir sin validar. Las campañas de phishing las abusan porque el dominio padre legítimo en la URL da credibilidad. Patrones comunes son parámetros 'continue to ?url=' en flujos de login. Mitigación: mantener una allowlist de destinos aceptables o restringir a mismo-origen. El precargado HSTS (RFC 6797) cierra otra ventana — una vez que un dominio está precargado en la lista HSTS del navegador, las peticiones HTTP planas se actualizan internamente antes de llegar al cable, eliminando el primer salto de redirección HTTP→HTTPS y la ventana man-in-the-middle durante la actualización TLS inicial.

Visualización completa de cadena de redirecciones (cada salto 3xx con código según RFC 9110 §15.4)
Códigos 301/302/303/307/308 con distinción de conservación de método (307+308 conservan POST)
URL de destino final tras resolver la cadena
Hasta 10 saltos trazados (por debajo del límite de navegador 16-20)
Detección de preload HSTS + actualización HTTP→HTTPS (RFC 6797)
Pista de vulnerabilidad de redirección abierta (patrones CWE-601 / OWASP A01:2021)

Gratis. Sin registro. Las tools de navegador (subred, JWT, fuerza de contraseña) corren localmente; las de consulta usan APIs públicas (Cloudflare DoH, RDAP, registros de certs). Detalle por herramienta en /es/methodology/.

Fuentes (5)

Fielding, R., Nottingham, M., & Reschke, J. (Eds.) (2022). HTTP Semantics. RFC 9110, IETF (§15.4 Redirection 3xx — 301/302/303/307/308 method preservation).
Hodges, J., Jackson, C., & Barth, A. (2012). HTTP Strict Transport Security (HSTS). RFC 6797, IETF (preload list interactions).
MITRE Corporation (live). CWE-601: URL Redirection to Untrusted Site ('Open Redirect'). cwe.mitre.org/data/definitions/601.html.
Open Web Application Security Project (OWASP) (2021). OWASP Top 10:2021 — A01 Broken Access Control. owasp.org/Top10/A01_2021-Broken_Access_Control.
Illyes, G. (Google) (2016). 30x redirects don't lose PageRank anymore. Google Search Central confirmation (developers.google.com/search/docs/crawling-indexing/301-redirects).

Son los RFCs del IETF, las publicaciones del NIST y los estándares del W3C que la herramienta implementa o consulta. Localízalos en el IETF Datatracker (datatracker.ietf.org) o en el organismo correspondiente.

Guías relacionadas

Códigos de estado HTTP en monitoreo — Cuáles disparan alertas y cuáles noNo todo no-200 es una caída. Guía práctica de qué códigos HTTP deberían despertarte y cuáles son solo ruido.

Por Marco B. · Última verificación junio 2026 — corre en tu navegador