Por qué short.cl solo acorta dominios verificados

Un acortador de URLs es un servicio simple: recibís una URL larga, devuelve una URL corta, y cuando alguien abre la corta, lo redirige a la larga. Punto.

El problema es que esa simpleza es también su vulnerabilidad. Un acortador abierto —que acepta cualquier URL— es la herramienta favorita de quien hace phishing, distribuye malware o manda spam. Y cuando eso pasa suficientes veces, todo el dominio del acortador se convierte en tóxico.

Qué le pasa a un acortador cuando se quema

Cuando Gmail, WhatsApp, Outlook, los antivirus corporativos y Safe Browsing de Google detectan que un dominio está sirviendo links maliciosos, lo marcan. Y cuando lo marcan, bloquean todos los links de ese dominio: los tuyos, los míos, los de una ONG, los de una PyME que lo usaba para sus campañas de Instagram. Da lo mismo que tu link apunte a un artículo legítimo — el cliente de correo ve bit.ly/... y lo tira a spam o lo reemplaza por una pantalla de advertencia.

Esto le pasó a bit.ly varias veces a lo largo de los años. Le pasó a bit.do (que terminó cerrando). Le pasó a tinyurl.com en escenarios específicos. La respuesta de cada uno fue distinta: más heurísticas, más filtros, más equipos de trust & safety. Ninguno resuelve el problema de fondo: si cualquiera puede acortar cualquier URL, alguien siempre va a acortar una maliciosa.

La decisión: allowlist en vez de blocklist

Una blocklist intenta adivinar qué es malicioso después del hecho. Reacciona. Falla cuando el atacante se mueve más rápido que la lista.

Una allowlist invierte la lógica: solo se acepta lo que está explícitamente en la lista. Si un dominio no fue verificado, no se puede acortar. No hay "analizamos el contenido del destino" ni "detectamos patrones sospechosos" — simplemente, no está en la lista, no se acorta.

Por diseño:

• short.cl nunca puede servir un link a apple-support.co (phishing típico).
• Nunca puede servir un link a un sitio registrado ayer sin historial.
• Nunca puede servir un link a un bucket de S3 o a un subdominio arbitrario de *.vercel.app.

Y como consecuencia, ningún filtro antispam tiene motivo para marcar short.cl.

Qué hay en la lista hoy

La lista inicial tiene más de 200 dominios verificados manualmente, organizados en 24 categorías:

• Redes sociales: Instagram, X, LinkedIn, TikTok, Threads, BlueSky, Pinterest, Reddit, Facebook.
• Medios chilenos: Emol, La Tercera, BioBio, T13, Cooperativa, ADN, CHV, 24 Horas, Diario Financiero, El Mostrador, Duna, Publimetro y varios más.
• Servicios públicos: SII, Registro Civil, Previred, Fonasa, ChileAtiende, DT, SUSESO, Superintendencia de Salud.
• Bancos y fintech: Banco de Chile, Santander, BancoEstado, BCI, Itaú, Scotiabank, Security, Bice. Fintual, Tenpo, Mach, Khipu, Flow, Transbank, Mercado Pago.
• AFPs: todas las AFPs chilenas.
• Universidades: UChile, UC, USACH, UAI, UAndes, UDD, UNAB, UMayor, USM, PUCV, UV y otras.
• Productividad: Google, Microsoft, Notion, Figma, Canva, Airtable, Linear, Calendly, Trello, Asana, Miro, Loom.
• Ecommerce: MercadoLibre, Falabella, Ripley, Paris, Sodimac, Jumbo, Líder, PC Factory, Corona, La Polar. Amazon, eBay, AliExpress, Shein, Temu.
• Streaming: Spotify, YouTube, Netflix, HBO Max, Disney+, Apple Music.
• Viajes y delivery: Airbnb, Booking, LATAM, JetSmart, Despegar, Rappi, PedidosYa, Uber Eats, Cornershop.
• Desarrollo: GitHub, GitLab, Stack Overflow, CodePen, Replit, npm.

La lista completa está en short.cl/dominios-verificados, con búsqueda.

Lo que ganas como usuario

• Tus links mantienen su alcance. Ningún cliente de correo tiene incentivo para marcar short.cl, porque el dominio nunca sirve contenido malicioso.
• Tu link corto se ve serio. short.cl/mi-producto apunta, garantizado, a un dominio que alguien verificó.
• El destino es predecible. Si ves un short.cl/, sabés que la URL final está en una lista pública auditable.

Lo que pierdes

• Dominios nuevos sin historial: no se pueden acortar mientras no pasen la verificación.
• PaaS genéricos (*.vercel.app, *.amazonaws.com, *.herokuapp.com): no se aprueban como wildcards porque cualquiera puede desplegar contenido ahí.
• Tu sitio personal recién estrenado: hay que pedir la verificación.

Ninguna de esas pérdidas es arbitraria. Todas son consecuencia directa del diseño, y todas son recuperables: pedir verificación de un dominio toma menos de un minuto y respondemos en 24 a 48 horas hábiles.

Cómo pedir un dominio nuevo

En short.cl/solicitar-dominio llenas un form con el dominio, tu email y un motivo opcional. Revisamos manualmente:

• Antigüedad del dominio (whois).
• Contenido real y legítimo al visitarlo.
• Ausencia del dominio en blocklists públicas (VirusTotal, urlhaus).

Si cumple, lo agregamos y te avisamos por correo para que puedas acortar links a él desde ese momento. Si no, te escribimos con el motivo — y podés volver a pedir cuando cambie la situación (por ejemplo, cuando el dominio tenga más antigüedad).

Nota sobre links existentes

Todo link creado antes de que existiera la allowlist sigue funcionando igual. El sistema solo aplica a links nuevos. Nada de lo que hayas compartido queda roto.

Esto no es una restricción, es la feature

Lo difícil de construir un acortador no es la parte de acortar URLs — es mantener el dominio limpio en el tiempo. La mayoría de acortadores tratan eso como un problema operacional (más trust & safety, más análisis, más modelos). Nosotros tratamos eso como un problema de diseño: si la entrada es restringida a fuentes verificadas, la salida no puede corromperse.

Los usuarios terminan sintiendo la diferencia: tus links llegan, no se bloquean, no se ensucian. Y cuando alguien que desconfía de los acortadores ve un short.cl/..., tiene una razón concreta para confiar en él.

Probar ahora

Crea tu primer link con dominio verificado →