Seguimiento por enlaces y rastreadores IP (Grabify, IP Logger y similares): comparativa de funciones y riesgos

Seguimiento por enlaces y rastreadores IP (Grabify, IP Logger y similares): comparativa de funciones y riesgos

A veces basta un solo clic en un enlace «inofensivo» para entregar a un desconocido media tarjeta técnica: dirección IP, ciudad según la base de geolocalización, proveedor, modelo del dispositivo, idioma del sistema, zona horaria y, a veces, incluso coordenadas exactas (si usted mismo dio permiso). Precisamente eso hacen los rastreadores de IP: Grabify, IP Logger y decenas de sus clones. En este artículo analizaremos cómo funcionan, qué hay que temer de verdad, dónde el marketing exagera las capacidades y cómo establecer una protección práctica.

Qué es un rastreador de IP y cómo está construido

En esencia es un intermediario entre la «cebo» (cualquier URL, imagen o código QR) y el recurso real. El rastreador entrega una redirección o un píxel, registra los hechos de las visitas y recopila la máxima cantidad de metadatos. Los servicios más avanzados tienen modos de «smart logger» que, mediante JavaScript y APIs del navegador, leen parámetros adicionales: carga de la batería, orientación de la pantalla, bloqueador de anuncios, tamaño de la ventana, a veces la IP local con las limitaciones de WebRTC, etc. (véase la lista en el sitio de Grabify — «Smart Logger»).

  • Registrador por enlace: URL corta → redirección 302/307 instantánea al destino final + registro de IP/UA/referrer y otros datos.
  • Registrador por píxel: imagen invisible de 1×1 px que se carga en un correo o en una página (véase «imagen invisible» en Grabify).
  • Registrador de ubicación: solicita acceso a la geolocalización en el navegador o en el teléfono y, con consentimiento, entrega coordenadas precisas (véase «Location Tracker» en IP Loggerrequiere el consentimiento del usuario).
  • Notificaciones/bots: alertas en Telegram o por correo en cada clic (IP Logger dispone de un bot oficial en Telegram y de la vinculación de cuenta).
  • Enmascaramiento de dominios: generación de enlaces en dominios «neutros» para que la víctima no vea la palabra grabify (lo confirma el propio blog del servicio: « Cómo enmascarar su enlace de Grabify»).
Importante: los navegadores modernos han corregido antiguas filtraciones de IP local vía WebRTC (mascarado mDNS de candidatos). Por tanto, «averiguar su dirección de casa desde el aire» no pertenece a este repertorio. Pero la IP pública/proxies/VPN y otros metadatos siguen recopilándose perfectamente.

Qué exactamente «ve» el propietario del rastreador — y qué no

Las promesas publicitarias a menudo suenan alarmantes, así que ordenémoslo por partes.

  • Normalmente disponible: IP pública, país/ciudad por GeoIP, proveedor, tipo de red (móvil/banda ancha), SO/navegador/dispositivo, idioma, zona horaria, referrer/UTM, a veces la indicación de VPN/proxy/Tor/VM.
  • Disponible con consentimiento: coordenadas precisas por GPS/AGPS (el navegador solicita permiso mediante un cuadro de diálogo; ejemplo: el Location Tracker de IP Logger).
  • No disponible con un clic: su nombre real/dirección del domicilio/documento de identidad. La geolocalización por IP es estadísticamente imprecisa: incluso las bases líderes como MaxMind indican que «nunca es exacta para identificar un hogar o una calle concreta» y varía según el tipo de red y las prácticas del ISP (véase la ayuda de MaxMind: Precisión de geolocalización).
Mito: «si conozco la IP, conozco la dirección». Realidad: a menudo es la ubicación del centro del proveedor o una región con decenas de kilómetros de radio. La excepción es si la persona ha revelado sus datos personales en otro lugar y estos se han vinculado a la IP.

Mensajería y vistas previas de enlaces: ¿se filtra su IP al generar la vista previa automática?

Cuando recibe un enlace en un chat, la aplicación muestra una miniatura de la página (imagen/título). Es importante entender: en la mayoría de aplicaciones modernas la vista previa la genera no su IP, sino el servidor de la plataforma o el dispositivo del remitente. Es como mirar el escaparate sin entrar en la tienda.

  • WhatsApp: es posible desactivar completamente las vistas previas (Configuración → Privacidad → Avanzado → Desactivar vistas previas de enlaces). En la ayuda oficial se indica que esta es una opción para proteger la dirección IP de los usuarios más «paranoicos»: FAQ oficial. Además, para llamadas existe la opción «Proteger la dirección IP en llamadas», para que el tráfico pase por los servidores de WhatsApp ( detalles).
  • Telegram: las vistas previas en clientes móviles se generan en el lado del servidor (añade comodidad, pero Telegram conoce la URL). No hay una filtración directa de su IP cuando aparece la vista previa; al hacer clic en el enlace, claro, la IP irá al sitio. Véanse análisis como el estudio de Mysk «Vistas previas de enlaces: riesgos de privacidad» y explicaciones técnicas de la comunidad.
  • Slack/Discord y otros: las vistas previas (unfurl) las recaban sus servidores/bots; el sitio ve el User-Agent de ellos (por ejemplo, Discordbot), no el suyo. Documentación: Slack: Unfurling de enlaces.

Conclusión: la vista previa rara vez revela su IP por sí sola — el peligro empieza al hacer clic en el enlace (o al autocar­gar imágenes externas en el correo, como se explica más abajo).

Legislación y límites permitidos: por qué la IP es dato personal

En Europa la dirección IP se considera dato personal (véase la sentencia del Tribunal de Justicia de la UE en el caso Breyer, C-582/14). Por eso la recogida y el tratamiento exigen una base legal, transparencia y el respeto a los derechos de los interesados. Para orientarse:

  • El caso del TJUE «Breyer»: una IP dinámica puede ser dato personal para el propietario del sitio incluso si este no puede identificar directamente a la persona, porque la identificación es posible a través de terceros (ISP). Resumen: Covington & Burling.
  • Materiales explicativos: GDPRhub: Artículo 4, resumen de la Comisión Europea « La protección de datos explicada».
  • La práctica de las plataformas también cambia: por ejemplo, Telegram ha actualizado políticas sobre la entrega de IP y números de teléfono en respuestas a solicitudes judiciales en investigaciones penales (véanse noticias y la política de privacidad oficial de Telegram).
¿Qué significa esto en la práctica? Recopilar IP y coordenadas «por curiosidad» es mala idea. Si usted es responsable del tratamiento de datos (empresa/medios/blog), necesita bases legales, minimización, plazo de conservación y un mecanismo para «eliminar mis datos» (ambos servicios, por cierto, ofrecen un formulario de Remove My Data).

Comparación de servicios populares de registro de IP

A continuación, una tabla comparativa basada en las funciones declaradas en las páginas oficiales (sin valorar la ética de su uso). Ayuda a entender qué hacen estas herramientas y en qué se centran.

Servicio Tipos de registro Metadatos adicionales Ocultamiento de dominios Bots/API/notificaciones Recopilación de consentimiento Eliminación de datos/abuso Enlaces útiles
Grabify Registrador por enlace, píxel invisible «Smart Logger»: batería*, orientación*, ad-block*, tipo de conexión*, idiomas, zona horaria, detección de VPN/Tor/VM, y más. Sí (elección de dominios alternativos de una lista) Notificaciones; cuenta/panel estándar No enfatizado para enlaces básicos; depende del escenario Existe: Remove My Data, Abuse Sitio · Enmascaramiento · Píxel
IP Logger Registrador por enlace, píxel, registrador de ubicación (GPS con consentimiento) Analítica ampliada de clics (IP, ciudad, proveedor, etc.) Sí (configuración de dominio/ruta para el enlace) Alertas en Telegram/correo, bot oficial en Telegram Existe una opción de «recopilación de consentimientos» para cumplir con GDPR Ofrecen formularios y herramientas de gestión Sitio · Location Tracker

* — disponible en el modo «Smart Logger» y si el dispositivo/navegador lo soporta.

Cómo reconocer y comprobar un enlace sospechoso

Las «señales de alarma» no son solo el dominio grabify.link. Los servicios usan un conjunto de direcciones alternativas que se disfrazan de sitios «normales». Si duda, compruebe el destino de una URL corta mediante un servicio externo de ampliación (ellos consultan al acortador desde sus propios servidores y no desde su IP):

  • CheckShortURL — muestra la dirección final y ofrece una captura.
  • Unshorten.me · Unshorten.it — alternativas.
  • Algunos acortadores tienen un «modo de vista previa» (por ejemplo, en Bitly añada + al final de la URL corta; en TinyURL use el prefijo preview.), vea las guías de universidades de ciberseguridad y las ayudas de los servicios.
No haga esto: no «probe» el enlace directamente con curl/wget sin proxy — es una solicitud de red igual y revelará su IP. Use ampliadores externos o abra el enlace en un entorno aislado con VPN/proxy.

Correo y píxeles de seguimiento: la autocarga de imágenes = señal de «abrí el correo»

En los correos, el píxel de seguimiento suele ser una imagen normal alojada en una URL externa. Al autocar­garse, el remitente registra la «apertura» y a veces la IP/cliente. Afortunadamente, muchos servicios ocultan su IP tras su proxy (por ejemplo, Gmail utiliza GoogleImageProxy y cachea imágenes), y los clientes permiten desactivar la autocarga.

  • Gmail proxya desde hace tiempo las imágenes externas y así no entrega su IP al remitente; si lo desea, puede además prohibir la autocarga (detalles en la ayuda y en análisis independientes).
  • En clientes de sobremesa clásicos (Outlook/Thunderbird/Apple Mail) busque la opción «no cargar imágenes externas automáticamente».
Buena práctica: si un correo es sospechoso, no abra los enlaces desde él; vaya al sitio manualmente escribiendo la dirección o use comprobadores de URL como VirusTotal/URLVoid o ampliadores.

Riesgos reales y escenarios típicos de abuso

Los registradores de IP se usan a menudo en marketing inocuo y soporte técnico, pero en el terreno existen casos desagradables:

  • Doxing y amenazas: «veo tu ciudad/proveedor, así que sé dónde vives» — chantaje emocional que suele ser infundado. Aun así, no ignore las amenazas: documente y, si hace falta, acuda a las autoridades.
  • Suplantación de confianza: enviar un enlace enmascarado en nombre de un «conocido» (nick/avatar clonados) para que «mires una foto/documento» — clásico.
  • Phishing/redirecciones maliciosas: el rastreador puede ser la primera etapa; luego viene un formulario falso o un descargador.
  • Ataques a infraestructuras corporativas: recopilación de IP públicas de empleados, proxies de trabajo, versiones de software — para campañas de phishing dirigidas.

Protección práctica: lista de comprobación para personas y empresas

Para usuarios cotidianos

  1. Active una VPN en el dispositivo/navegador — es uno de los modos más sencillos de no exponer la IP doméstica.
  2. Desactive la vista previa automática de enlaces en el mensajero si está en riesgo. En WhatsApp: Configuración → Privacidad → Avanzado → Desactivar vistas previas de enlaces ( detalles).
  3. Compruebe URLs cortas mediante servicios externos ( CheckShortURL, Unshorten.me, Unshorten.it).
  4. Correo: prohíba la autocarga de imágenes externas; use vista previa en texto para boletines sospechosos.
  5. Navegador: instale uBlock Origin/Privacy Badger, limite JavaScript en sitios no verificados (o use un perfil «estricto» separado).
  6. Nunca abra «regalos/videos» de desconocidos, incluso si el dominio parece «normal». El enmascaramiento es una función habitual de los rastreadores.

Para redacciones, ONG, activistas y empresas

  1. Filtrado DNS/listas de bloqueo: implemente un bloqueo centralizado en dominios conocidos de registradores de IP. En repositorios abiertos hay listas actualizadas de dominios enmascaradores (por ejemplo: listas para Grabify en GitHub/gists). Manténgalas actualizadas.
  2. Política de vista previa: en mensajeros corporativos (Slack/Teams) limite el «unfurling» automático de enlaces externos o al menos registre esos eventos.
  3. Aislamiento de clics: abra URLs sospechosas solo en un entorno virtual de un solo uso con salida por proxy/VPN corporativa.
  4. Correo: a nivel de MTA proxye/escriba de nuevo enlaces externos, desactive las imágenes automáticas por defecto en los clientes.
  5. Formación: ejercicios de reconocimiento de dominios enmascarados, prácticas sobre «recibí un enlace — qué hago después».

Detector rápido de rastreadores visto desde el lector

  • El enlace es corto/sospechoso y le pidieron «míralo urgente» — no haga clic, primero compruébelo con un ampliador.
  • En un mensajero la vista previa no se carga o es extraña — mejor verifique la URL final manualmente.
  • Un correo le pide «confirmar la cuenta» y lleva a un dominio que no parece oficial — ciérrelo y verifique la dirección del sitio por su cuenta.
  • Alguien presume «sé dónde vives, tengo tu IP» — mantenga la calma: casi siempre se trata de ciudad o región. Guarde las pruebas y no caiga en provocaciones.

Conclusiones

Los rastreadores de IP no son «satélites espía mágicos», sino herramientas terrenales de analítica web e ingeniería social. Pueden recopilar muchos detalles técnicos y, con su consentimiento, coordenadas precisas. Pero «calcular la puerta de un edificio por la IP» en 2025 es tan irrealista como hace diez años. El problema principal no son las tecnologías, sino el factor humano: clics confiados, la costumbre de abrir todo y la falta de higiene de privacidad. Active VPN, desactive la autocarga de imágenes y vistas previas en escenarios de riesgo, y verifique enlaces cortos — así las «fugas por clic» se reducirán a un error estadístico.

Si sufre amenazas o chantaje, guarde toda la correspondencia y enlaces, haga capturas de pantalla de paneles de rastreadores (si se las muestran) y consulte a abogados o a las autoridades. Para empresas — establezca políticas de tratamiento de datos personales y procedimientos de respuesta a solicitudes de interesados (eliminación/divulgación).


Alt text
article-title

Hacker