Técnicas para ofuscar direcciones de correo electrónico

En Email address obfuscation: What works in 2026? se analizan diferentes técnicas para ofuscar direcciones de correo electrónico y así evitar que acaben en listas de spam. El artículo evalúa la eficacia de estas técnicas en 2026 mediante datos empíricos.

La principal conclusión es que no existe una única técnica perfecta, sino que se recomienda combinar varias estrategias para aumentar la protección. Las técnicas se dividen en dos grandes categorías: direcciones en texto plano y enlaces clicables tipo mailto.

En el caso del texto plano, las técnicas más simples (sin protección) no bloquean ningún spammer, mientras que otras como el uso de entidades HTML, comentarios HTML o transformaciones mediante JavaScript logran bloquear entre el 95% y el 100%. Algunas de las más efectivas incluyen ocultación mediante CSS (display: none), conversión personalizada en JavaScript o cifrado AES, ya que los bots suelen no ejecutar JavaScript ni interpretar correctamente estilos. Sin embargo, varias técnicas (como sustituir símbolos, usar imágenes o manipular el texto con CSS) rompen la usabilidad o la accesibilidad, lo que las hace poco recomendables.

Para los enlaces clicables, ocurre algo similar: sin protección no hay bloqueo, pero técnicas como entidades HTML, redirecciones HTTP o métodos basados en JavaScript alcanzan tasas cercanas al 100% de efectividad. Nuevamente, las soluciones más robustas son aquellas que requieren ejecución de JavaScript o interacción del usuario.

El texto también discute críticas habituales, como la idea de que hoy el spam proviene principalmente de filtraciones de datos. No obstante, el autor demuestra que los correos publicados en la web siguen siendo recolectados activamente. Además, destaca que estas técnicas son útiles, fáciles de implementar y no generan falsos positivos, a diferencia de los filtros de spam.

Finalmente, la metodología se basa en un sistema de “honeypots”, donde cada técnica protege una dirección distinta, permitiendo identificar cuáles son vulneradas según el spam recibido. Aunque los datos tienen cierta incertidumbre, los resultados son consistentes: muchas técnicas clásicas siguen siendo sorprendentemente efectivas frente a recolectores básicos.