Antes de hacer clic en cualquier enlace dudoso, pasa el cursor por encima sin pulsar y observa la URL real que aparece abajo a la izquierda del navegador: si no coincide con el dominio que esperabas, no entres. Verificar enlace antes de pulsar marca la diferencia entre seguir leyendo correo tranquilamente o dedicar el fin de semana a cambiar contraseñas y llamar al banco. Comprobar URL sospechosa lleva treinta segundos con herramientas como VirusTotal, URLScan.io o Google Safe Browsing, todas gratuitas y accesibles desde cualquier navegador. Esta guía recoge el método que usamos en redacción cuando llega un enlace raro: qué mirar primero, qué herramientas exprimir y qué hacer si ya has picado. Sin paranoia, sin tecnicismos innecesarios.
Inspección visual: lo que se ve sin instalar nada
El primer filtro es el ojo. La mayoría de enlaces de phishing caen aquí si sabes dónde mirar. Los atacantes usan dominios casi idénticos al original, confiando en que nadie revise los caracteres uno a uno.
Pasa el ratón por encima del enlace en el correo o web. El navegador muestra la URL real en la esquina inferior izquierda. En móvil, mantén pulsado el enlace unos segundos para ver el destino sin abrirlo.
Señales de alerta inmediatas en una URL:
- Subdominios largos y confusos: bbva.com.seguridad-cliente.xyz no es BBVA, es seguridad-cliente.xyz con BBVA disfrazado.
- Caracteres unicode: la "a" cirílica (а) es visualmente idéntica a la latina. Se llama ataque homográfico y existe desde hace años.
- Guiones extra: amaz0n-seguridad.com con cero en lugar de "o", o paypal-verificacion.net.
- TLDs raros: dominios acabados en .xyz, .top, .click, .tk suelen ser desechables y baratos. No son automáticamente maliciosos, pero suben la sospecha.
- Acortadores: bit.ly, tinyurl, t.co esconden el destino real. No son malos por sí mismos, pero un correo serio rara vez los usa.
Herramientas para comprobar URL antes de visitarla
Cuando el ojo no basta, hay servicios que escanean el enlace sin que tú entres. Son la segunda línea de defensa y no instalan nada en tu equipo.
VirusTotal (virustotal.com) cruza la URL contra decenas de motores antivirus y bases de datos de phishing. Pega el enlace, le das a analizar y en segundos sabes si algún motor lo marca como malicioso. Es una de las referencias habituales entre analistas de seguridad.
URLScan.io hace algo distinto: visita la página por ti en un sandbox, captura una pantalla, lista los recursos cargados y muestra a qué dominios contacta. Útil para ver qué pasaría sin exponerte. Cualquier escaneo público queda visible para otros analistas, así que no lo uses con enlaces personales.
Google Safe Browsing (transparencyreport.google.com/safe-browsing/search) consulta directamente la base de datos que usa Chrome para bloquear sitios. Si Google ya lo ha catalogado como peligroso, aquí lo verás.
PhishTank es una base colaborativa de URLs de phishing reportadas y verificadas. Bueno como segunda opinión.
Para acortadores, CheckShortURL o Unshorten.it expanden el enlace sin abrirlo, mostrando el destino final antes de que tu navegador lo cargue.
Comprobaciones técnicas: WHOIS, certificado y reputación
Si quieres ir un paso más allá, mira la edad del dominio. Los sitios de phishing suelen registrarse pocos días antes del ataque. WHOIS (en whois.com o who.is) revela cuándo se registró un dominio. Si tu-banco-segurisimo.com se creó hace tres días, no es tu banco.
El candado HTTPS no significa que el sitio sea legítimo. Significa que la conexión está cifrada. Cualquier estafador puede sacar un certificado Let's Encrypt gratis en cinco minutos. Según datos del Anti-Phishing Working Group, la mayoría de webs de phishing actuales usan HTTPS. El candado verifica el cifrado, no la honestidad.
Lo que sí aporta valor es revisar el certificado: clic en el candado, ver detalles. Si el certificado se emitió hace pocas horas y el dominio dice ser una entidad bancaria con décadas de historia, algo no encaja.
Para la reputación general del dominio, Web of Trust y URLVoid agregan valoraciones de múltiples fuentes en un solo informe.
El contexto importa más que la URL
Una URL puede ser técnicamente válida y aun así formar parte de una estafa bien montada. Aquí entra el sentido común aplicado al contexto del mensaje.
Pregúntate antes de hacer clic:
- ¿Esperaba este correo o mensaje?
- ¿El remitente coincide exactamente con el que tengo registrado?
- ¿Mete urgencia artificial ("tu cuenta será bloqueada en 24 horas")?
- ¿Pide datos que mi banco o proveedor jamás pediría por email?
- ¿La redacción tiene errores raros, traducciones automáticas, mayúsculas extrañas?
El fraude del CEO, los falsos avisos de paquetería y el phishing bancario funcionan precisamente porque el atacante crea contexto creíble. Si recibes un aviso de tu banco con un enlace, abre el navegador manualmente y entra en la web del banco escribiendo la dirección. Nunca desde el correo. Tenemos guías específicas sobre phishing bancario y cómo protegerte y sobre el fraude del CEO en entornos empresariales que detallan estos escenarios.
Tabla resumen: herramientas según el caso
| Situación | Herramienta recomendada | Tiempo |
|---|---|---|
| Análisis rápido de URL | VirusTotal | 10 segundos |
| Ver el contenido sin entrar | URLScan.io | 30 segundos |
| Expandir enlace acortado | CheckShortURL | 5 segundos |
| Edad del dominio | WHOIS | 15 segundos |
| Reputación agregada | URLVoid | 20 segundos |
| Comprobar credenciales filtradas | Have I Been Pwned | 10 segundos |
Qué hacer si ya has hecho clic
Pasa, no eres el primero. Importante actuar rápido y por orden.
Si solo abriste la página sin introducir nada: cierra la pestaña, borra cookies del dominio, pasa un escaneo con tu antivirus. Riesgo bajo si tienes el navegador y el sistema actualizados. Aprovecha para revisar el antivirus que tienes instalado y asegurarte de que está al día.
Si introdujiste contraseñas: cambia la contraseña afectada inmediatamente, y todas las que comparten esa misma clave (sí, la gente reutiliza contraseñas, lo sabemos). Activa la verificación en dos pasos donde no la tengas. Comprueba en Have I Been Pwned si tu email aparece en filtraciones conocidas.
Si introdujiste datos bancarios o tarjeta: llama al banco antes de seguir leyendo esto. Bloquea la tarjeta. Vigila movimientos durante semanas. Denuncia a la Policía Nacional o Guardia Civil (Grupo de Delitos Telemáticos). En España puedes reportar también al INCIBE a través del 017.
Si descargaste un archivo: no lo abras. Bórralo y pasa un escaneo completo. Si ya lo abriste, desconecta la red, escanea desde modo seguro y considera reinstalar el sistema si era ejecutable.
Caso real: el SMS de Correos
Lleva años circulando y sigue funcionando. Llega un SMS diciendo que tu paquete tiene un recargo aduanero pendiente. El enlace lleva a una web idéntica a la de Correos, con dominio del estilo correos-aduanas-pago.com o variantes. Pides pagar 1,99 euros y entregas datos de tarjeta completos.
El cargo de 1,99 € es señuelo. Lo que interesa al atacante son los datos de tarjeta para hacer compras de cientos de euros después, o para revenderlos en mercados clandestinos. La Oficina de Seguridad del Internauta (OSI) ha publicado avisos repetidos sobre esta campaña.
El truco para detectarlo: Correos jamás cobra recargos aduaneros por SMS con enlace de pago. Si dudas, entras en correos.es manualmente con el código del envío y compruebas el estado real.
Preguntas frecuentes
¿El candado HTTPS garantiza que un enlace es seguro?
No. El candado solo confirma que la conexión está cifrada entre tu navegador y el servidor. Buena parte de las webs de phishing actuales usan HTTPS porque los certificados Let's Encrypt son gratuitos. El cifrado protege los datos en tránsito, no garantiza que el destinatario sea legítimo.
¿Es seguro hacer clic en enlaces de WhatsApp si vienen de un contacto conocido?
Solo en parte. Las cuentas de contactos pueden estar comprometidas y enviar enlaces maliciosos sin que el dueño lo sepa. Si el mensaje no encaja con la forma habitual de escribir de esa persona o llega con urgencia rara, confirma por otra vía antes de pulsar. Hablamos más de esto en nuestra guía sobre privacidad en mensajería.
¿VirusTotal es realmente fiable para detectar enlaces peligrosos?
Es muy útil pero no infalible. Cruza decenas de motores antivirus, así que si varios marcan el enlace como malicioso, la probabilidad es alta. Los enlaces nuevos creados en las últimas horas pueden pasar desapercibidos hasta que alguien los reporta. Combina VirusTotal con sentido común sobre el contexto.
¿Qué hago si recibo un enlace sospechoso en el correo del trabajo?
No lo abras y reenvíalo al departamento de IT o seguridad de tu empresa. Muchas organizaciones tienen buzones específicos del tipo phishing@empresa.com para reportarlos. Borrarlo sin avisar deja al resto de compañeros expuestos al mismo ataque.
¿Puedo verificar enlaces directamente desde el móvil?
Sí. VirusTotal y URLScan funcionan desde el navegador móvil sin instalar nada. Para ver la URL real de un enlace en iOS o Android, mantén el dedo pulsado sobre el enlace unos segundos hasta que aparezca el menú con vista previa del destino.
El siguiente paso
Abre VirusTotal en una pestaña ahora mismo y déjala fija. La próxima vez que dudes de un enlace, lo pegas, esperas diez segundos y decides con datos. Es el hábito más barato y rentable que puedes incorporar a tu rutina digital esta semana.
