Login Probar gratis

Señales en la URL que delatan una web de phishing: aprende a leerlas

por MataSpam Phishing y Estafas

Las URL de phishing son como esos correos del "príncipe nigeriano" pero vestidos con traje y corbata: parecen legítimos hasta que te fijas en los detalles. Cada día se crean más de 1,3 millones de sitios de phishing según el Anti-Phishing Working Group (APWG), y la mayoría usan un enlace falso cuidadosamente diseñado para que no lo distingas del original. Si quieres detectar una URL maliciosa antes de hacer clic, estás en el sitio correcto. Porque sí, las web falsas tienen señales que las delatan, y un dominio sospechoso habla más de lo que crees si sabes leerlo. En MataSpam llevamos años cazando estas trampas, así que hoy te vamos a enseñar a leer una URL como quien lee una matrícula falsa: con ojo clínico y sin piedad.

Anatomía de una URL: las partes que debes conocer

Antes de detectar lo malo, conviene saber cómo funciona lo bueno. Una URL tiene una estructura clara, y los ciberdelincuentes juegan con cada una de sus partes para engañarte. Vamos a desmontarla:

ParteEjemplo legítimoQué hace
Protocolohttps://Indica conexión cifrada (o no, si es http)
Subdominiowww. o mail.Prefijo opcional del dominio
Dominiobancosantander.esLa identidad real del sitio
TLD.es, .com, .orgExtensión del dominio
Ruta/cuenta/loginPágina concreta dentro del sitio
Parámetros?id=12345&ref=emailDatos enviados al servidor

Lo más importante es que el dominio real siempre está justo antes del TLD. Es decir, en seguridad.bancosantander.es, el dueño es bancosantander.es. Pero en bancosantander.seguridad-login.com, el dueño es seguridad-login.com —un completo desconocido—. Este truco es la base del 90% de los enlaces falsos que circulan por email y SMS.

Las 7 señales en la URL que delatan una web de phishing

Aquí viene lo jugoso. Estas son las técnicas más habituales que usan los atacantes para disfrazar una URL maliciosa, ordenadas de más común a más sofisticada:

1. Subdominios que imitan marcas conocidas

Es el clásico. Registran un dominio genérico y meten la marca como subdominio: paypal.com.verificacion-segura.xyz. El dominio real aquí es verificacion-segura.xyz, no PayPal. Si recibes un enlace así, ya sabes: dominio sospechoso al canto.

2. Typosquatting: errores tipográficos deliberados

Cambian una letra y rezan para que no te fijes: amaz0n.com, gooogle.com, microsofft.com. Un estudio de Palo Alto Networks en 2023 identificó más de 13.000 dominios de typosquatting activos solo para las 500 marcas más populares. Detectar estas URL maliciosas requiere leer cada carácter, algo que casi nadie hace con prisas.

3. Caracteres Unicode y ataques homográficos (IDN)

Esta es la magia negra del phishing. Usando caracteres cirílicos o griegos que parecen idénticos a los latinos, se pueden crear dominios visualmente indistinguibles del original. Por ejemplo, la "а" cirílica (U+0430) parece idéntica a la "a" latina (U+0061). Así nace аpple.com que no es apple.com. Los navegadores modernos como Chrome y Firefox muestran estos dominios en formato Punycode (xn--pple-43d.com) como defensa, pero no todos lo hacen igual.

4. URLs excesivamente largas con ruido

Si la URL tiene más caracteres que un episodio de Bola de Drac, desconfía. Los phishers meten cadenas interminables de parámetros y rutas para que el dominio real quede oculto fuera de la barra visible: https://login-seguro.com/bancosantander/es/particulares/acceso/?session=a8f3k2&token=x9d2m.... Es como esconder una cucaracha debajo de una montaña de papeles.

5. Uso de acortadores para esconder el destino

Los servicios como bit.ly, t.co o tinyurl.com son herramientas legítimas, pero los atacantes los adoran porque ocultan completamente la URL final. Si recibes un enlace acortado por email o SMS de tu "banco", es una señal clara de web falsa. Ningún banco te envía un bit.ly para que accedas a tu cuenta. Puedes usar herramientas como CheckShortURL o VirusTotal para expandir y analizar el enlace antes de hacer clic.

6. HTTP sin la S (o HTTPS que no garantiza nada)

Una URL sin HTTPS es sospechosa por defecto en 2026. Pero ojo: que tenga el candadito no significa que sea segura. Según datos de PhishLabs, más del 80% de los sitios de phishing ya usan certificados SSL gratuitos de Let's Encrypt. El candado solo indica que la conexión está cifrada, no que el sitio sea legítimo. Es como cerrar con llave la puerta de una casa okupa.

7. TLDs exóticos y gratuitos

Extensiones como .tk, .ml, .ga, .cf o .xyz son las favoritas del phishing porque se registran gratis o muy baratas. Si tu banco "opera" desde un dominio .top o .buzz, algo huele peor que el pescado de tres días. Según Spamhaus, los TLD con mayor proporción de dominios maliciosos en 2024 fueron .top, .xyz y .shop.

Herramientas para verificar URLs sospechosas

No hace falta que seas un hacker para comprobar si un enlace es legítimo. Estas herramientas gratuitas te ayudan a detectar una URL maliciosa antes de que te la cuelen:

  • VirusTotal (virustotal.com): Escanea la URL contra más de 70 motores antivirus y bases de datos de phishing. Es el estándar de la industria.
  • Google Safe Browsing: El propio buscador mantiene una lista negra de sitios peligrosos. Puedes consultarla en su Transparency Report.
  • URLScan.io: Hace una captura de pantalla del sitio y analiza su comportamiento sin que tú tengas que visitarlo. Muy útil para curiosos prudentes.
  • PhishTank: Base de datos colaborativa de sitios de phishing verificados. Si el enlace ya ha sido reportado, lo sabrás al instante.
  • WHOIS Lookup: Consulta quién registró el dominio y cuándo. Un dominio registrado hace dos días que dice ser tu banco es un dominio sospechoso garantizado.

Si además te preocupa que alguien pueda interceptar tus comunicaciones con un ataque man-in-the-middle, verificar la URL es solo el primer paso. También conviene evitar las redes abiertas, porque los riesgos del WiFi público van mucho más allá del phishing.

Qué hacer si ya has picado en una URL de phishing

Mira, nos pasa a los mejores. Ibas con prisas, el email parecía real, y le diste clic. No te flageles, actúa rápido:

  1. Cambia la contraseña inmediatamente del servicio que supuestamente te escribió. Si usas la misma contraseña en otros sitios (mal hecho, por cierto), cámbialas todas.
  2. Activa la autenticación en dos factores (2FA) si no la tenías. Es la red de seguridad que te salva cuando falla todo lo demás. Consulta nuestra guía para proteger tu cuenta de Google como punto de partida.
  3. Revisa movimientos bancarios si has introducido datos financieros. Contacta con tu banco para bloquear la tarjeta si es necesario.
  4. Escanea tu dispositivo con un antivirus actualizado. Algunos sitios de phishing también distribuyen malware que se instala silenciosamente.
  5. Reporta el sitio en PhishTank, Google Safe Browsing y al INCIBE (017) si estás en España.

Y si te han instalado algo raro, recuerda que el ransomware funciona exactamente así: un clic en el enlace equivocado y tus archivos acaban secuestrados. Más vale prevenir.

Casos reales de phishing por URL que hicieron historia

Para que veas que esto no es teoría abstracta, aquí van algunos golpes célebres basados en URL falsas y dominios sospechosos:

  • Google Docs phishing (2017): Un email con un enlace legítimo de Google (accounts.google.com) pedía permisos para una app falsa llamada "Google Docs". Afectó a millones de usuarios. La URL era técnicamente real; el engaño estaba en los permisos OAuth.
  • Ataques homográficos a bancos españoles (2022-2023): El INCIBE reportó oleadas de SMS con dominios como caixabank-es.com y bbva-seguridad.top. Miles de usuarios cayeron porque los enlaces llegaban en hilos de SMS junto a mensajes reales del banco.
  • Campaña de Emotet vía enlaces de SharePoint (2024): Los atacantes usaban URLs legítimas de SharePoint comprometidas para distribuir malware. Ni VirusTotal las detectaba las primeras horas, porque el dominio era auténtico de Microsoft.

Estos casos demuestran que incluso los usuarios avanzados pueden caer. La clave no es ser perfecto, sino tener hábitos de verificación antes de introducir datos en cualquier web. Y si te interesa proteger también tus dispositivos inteligentes del hogar, échale un vistazo al blog de domótica y seguridad smart home para no dejar cabos sueltos.

Preguntas frecuentes

¿Cómo puedo saber si una URL es de phishing sin hacer clic?

Pasa el ratón por encima del enlace sin hacer clic para ver la URL real en la esquina inferior del navegador. Copia el enlace y pégalo en VirusTotal o URLScan.io para analizarlo. Fíjate en el dominio principal (justo antes del .com/.es) y comprueba que coincida exactamente con el sitio oficial.

¿El candado HTTPS garantiza que una web es segura?

No. El candado solo indica que la conexión está cifrada, no que el sitio sea legítimo. Más del 80% de los sitios de phishing actuales tienen certificado SSL. Es como tener alarma en casa pero dejar la puerta abierta: la tecnología está, pero no te protege del engaño.

¿Qué hago si he introducido mi contraseña en una web falsa?

Cambia esa contraseña inmediatamente en el sitio real, activa la autenticación en dos factores y revisa si hay actividad sospechosa en tu cuenta. Si eran datos bancarios, llama a tu banco al momento. Reporta el incidente al INCIBE llamando al 017.

¿Los acortadores de URL son siempre peligrosos?

No siempre, pero en contextos de seguridad (emails de bancos, SMS de verificación, mensajes de empresas) ninguna entidad seria usa acortadores. Si recibes un bit.ly de tu "banco", es phishing casi con total seguridad. Usa herramientas como CheckShortURL para ver adónde lleva realmente antes de abrirlo.

¿Puede una URL de phishing ser idéntica a la original?

Visualmente sí, gracias a los ataques homográficos con caracteres Unicode. Técnicamente no: el dominio real siempre es diferente. Por eso es importante copiar y pegar la URL en lugar de fiarse solo de lo que ves, y comprobar que el navegador no la muestre en formato Punycode (xn--).

Las URLs de phishing seguirán existiendo mientras haya gente que haga clic sin mirar, que es decir: mientras exista internet. Pero ahora ya tienes las herramientas y el ojo entrenado para leer un enlace sospechoso como quien lee un contrato —con lupa y desconfianza sana—. Si quieres seguir blindando tu vida digital, explora el resto de artículos del blog de MataSpam. Aquí no vendemos humo: vendemos paranoia bien fundamentada.

url phishing enlace falso detectar url maliciosa web falsa señales dominio sospechoso
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Pharming vs phishing: diferencias y cómo protegerte de ambos
Phishing y Estafas

Pharming vs phishing: diferencias y cómo protegerte de ambos

Phishing de Hacienda y la Agencia Tributaria: campañas de estafa más usadas
Phishing y Estafas

Phishing de Hacienda y la Agencia Tributaria: campañas de estafa más usadas

Phishing de Correos y paquetería: no caigas en la trampa del paquete retenido
Phishing y Estafas

Phishing de Correos y paquetería: no caigas en la trampa del paquete retenido

← Volver al blog