Verificar un enlace antes de hacer clic es la forma más rápida y efectiva de evitar el grueso de estafas online. Un enlace seguro se distingue de uno malicioso en detalles que puedes aprender a detectar en menos de diez segundos. Y no, no necesitas ser ingeniero de telecomunicaciones ni tener un máster en criptografía. Basta con saber dónde mirar, qué herramientas usar para comprobar una URL y cuándo tu instinto te dice que algo huele raro —porque normalmente tiene razón—. Un link sospechoso puede llegar por email, SMS, WhatsApp o incluso por un QR en un cartel. Este artículo te enseña a analizar un enlace en busca de virus o fraude antes de que sea tarde. Sin rollos, con herramientas reales y pasos concretos.
Anatomía de una URL: qué miras y qué deberías mirar
La mayoría de usuarios mira el texto azul subrayado. Los atacantes lo saben. Por eso disfrazan la URL real con texto que parece legítimo. Lo primero: aprende a leer la estructura de un enlace.
Una URL tiene este formato: protocolo://subdominio.dominio.extensión/ruta. El truco está en el dominio. Todo lo que va antes del dominio (subdominio) puede ser cualquier cosa. Ejemplo clásico:
https://seguridad.bancosantander.phishing-malo.com/login— Aquí el dominio real es phishing-malo.com, no bancosantander.https://bancosantander.es/tu-cuenta— Aquí el dominio real sí es bancosantander.es.
Lee siempre de derecha a izquierda hasta la primera barra /. El dominio real es lo que queda justo antes de la extensión (.com, .es, .org). Si no coincide con la entidad que supuestamente te escribe, no hagas clic. Esta técnica por sí sola te evitará la mayoría de estafas de phishing como las que usan Bizum.
Otro detalle: el candado HTTPS solo significa que la conexión está cifrada, no que el sitio sea legítimo. Según datos de la Anti-Phishing Working Group (APWG), la gran mayoría de sitios de phishing ya usan HTTPS. El candado verde no te protege de nada si el dominio es falso.
Cinco herramientas gratuitas para comprobar si una URL es segura
Cuando tengas un link sospechoso y no quieras arriesgarte, estas herramientas hacen el trabajo sucio por ti. Todas son gratuitas y no requieren instalar nada.
| Herramienta | Qué hace | URL |
|---|---|---|
| VirusTotal | Escanea la URL con más de 70 motores antivirus simultáneamente | virustotal.com |
| Google Safe Browsing | Consulta la base de datos de Google de sitios maliciosos conocidos | transparencyreport.google.com |
| URLScan.io | Hace una captura del sitio y analiza sus conexiones sin que tú lo visites | urlscan.io |
| PhishTank | Base de datos colaborativa de URLs de phishing confirmadas | phishtank.org |
| Sucuri SiteCheck | Escanea malware, blacklisting y software desactualizado | sitecheck.sucuri.net |
VirusTotal es probablemente la más completa para analizar un enlace en busca de virus. Pegas la URL, esperas unos segundos y te devuelve un veredicto de decenas de motores de seguridad. Si más de dos o tres lo marcan como malicioso, ni te acerques. También puedes usarla para verificar enlaces que recibes por correo antes de abrirlos. Si quieres profundizar en más herramientas defensivas, tenemos una guía completa de herramientas de ciberseguridad gratuitas que también te interesará.
URLScan.io tiene una ventaja extra: te muestra una captura de pantalla del sitio destino y todas las peticiones de red que hace. Así puedes ver si intenta redirigirte a otro dominio o si carga scripts sospechosos, todo sin exponerte.
Señales de alarma en un enlace: la lista rápida
No siempre tienes tiempo de abrir VirusTotal. Aquí van las señales que delatan un enlace sospechoso a simple vista:
- Dominio con errores tipográficos: amaz0n.es, go0gle.com, paypa1.com. Los atacantes usan caracteres similares (homoglyphs). Esto se conoce como typosquatting.
- Subdominios excesivos: login.secure.bank.update.xyz.com. Cuantos más niveles, más sospechoso.
- Acortadores de URL sin contexto: bit.ly, tinyurl, t.co. No son maliciosos per se, pero esconden el destino real. Usa un expansor como CheckShortURL antes de hacer clic.
- Parámetros extraños: URLs con cadenas base64 largas, parámetros como
redirect=otoken=cuando no esperabas ningún formulario. - Extensiones inusuales: .tk, .ml, .ga, .cf (dominios gratuitos de Freenom, históricamente usados para phishing masivo). No todos son maliciosos, pero la proporción de fraude en estos TLD es desproporcionada.
- Urgencia en el mensaje: "Tu cuenta será bloqueada en 24h", "Confirma ahora o perderás el acceso". La presión temporal es la herramienta favorita del social engineering.
Si un enlace llega por SMS o email no solicitado y cumple dos o más de estos puntos, trátalo como malicioso hasta que demuestres lo contrario. Y si ese enlace te lleva a una web que pide credenciales, comprueba siempre el dominio. Si tienes dudas sobre si tus datos ya están comprometidos, esta guía sobre brechas de datos te explica cómo actuar.
Cómo verificar un enlace paso a paso (sin abrirlo)
Vamos al grano. Recibes un enlace por email, WhatsApp o redes sociales. No sabes si es legítimo. Esto es lo que haces:
- No hagas clic. En móvil, mantén pulsado para copiar. En escritorio, clic derecho → "Copiar dirección del enlace".
- Pega la URL en un editor de texto (Bloc de notas, cualquier cosa). Examina el dominio real con la técnica que explicamos arriba.
- Busca el dominio en Google. Escribe
"dominio.com" estafao"dominio.com" phishing. Si hay reportes, aparecerán. - Pásalo por VirusTotal. Pega la URL y espera el análisis. Menos de un minuto.
- Comprueba el certificado SSL. Si decides visitar el sitio, haz clic en el candado del navegador y mira a quién se emitió el certificado. Un sitio que dice ser Correos pero el certificado está a nombre de "Random LLC" es fraudulento.
- Revisa con URLScan.io si quieres ver el contenido del sitio sin visitarlo. La captura te dirá si es una página de login falsa.
Este proceso lleva menos de dos minutos. Dos minutos frente a la posibilidad de que te cuelen un ransomware o te roben credenciales bancarias. Compensa.
Para los más técnicos: también puedes usar el comando whois en terminal para comprobar la URL y ver cuándo se registró el dominio. Un dominio registrado hace tres días que dice ser tu banco es, como mínimo, altamente sospechoso. Y herramientas como curl -I te permiten ver las cabeceras HTTP sin descargar contenido, útil para detectar redirecciones encubiertas.
Casos reales: enlaces que parecían inofensivos
La teoría está bien, pero veamos qué pasa cuando la gente no verifica los enlaces.
El SMS de Correos (2023-2025): Miles de usuarios españoles recibieron SMS con enlaces tipo correos-entrega.com o correos-tracking.info. El dominio real de Correos es correos.es. Punto. Los enlaces llevaban a páginas clonadas que pedían datos de tarjeta para "pagar gastos de envío" de aproximadamente 1-2 euros. Lo suficiente para validar la tarjeta y luego vaciarla.
El falso WeTransfer: Emails que simulan una notificación de WeTransfer con un enlace para "descargar archivos". La URL real apunta a un dominio tipo wetransfer-download.servicioweb.xyz. El enlace descarga un ejecutable disfrazado de PDF. Variantes de este ataque han distribuido troyanos como Emotet y Agent Tesla.
El QR del restaurante: Se acumulan reportes de QR codes pegados encima de los originales en restaurantes y parkings. Escaneas lo que crees que es la carta y acabas en un sitio de phishing. Antes de escanear un QR, comprueba que no sea una pegatina superpuesta. Y si la URL que muestra tu cámara no coincide con el negocio, no la abras. Si te interesa cómo los atacantes manipulan también la resolución de nombres, echa un vistazo al artículo sobre DNS spoofing.
Preguntas frecuentes
¿Es seguro hacer clic en un enlace acortado de bit.ly?
No es inseguro per se, pero oculta el destino real. Antes de hacer clic, añade un + al final de la URL de Bitly (ejemplo: bit.ly/abc123+) para ver a dónde apunta sin visitarlo. También puedes usar servicios como CheckShortURL o Unshorten.it para expandir cualquier enlace acortado.
¿VirusTotal garantiza que una URL es segura al 100%?
No. VirusTotal analiza con múltiples motores, pero las páginas de phishing recién creadas pueden tardar horas o días en ser detectadas. Si la URL es muy nueva y no tiene detecciones, no significa que sea segura. Combina VirusTotal con tu propio análisis del dominio y el contexto del mensaje.
¿Qué hago si ya he hecho clic en un enlace sospechoso?
Si solo hiciste clic pero no introdujiste datos: cierra la pestaña, borra la caché del navegador y ejecuta un análisis antivirus. Si introdujiste contraseñas, cámbialas inmediatamente desde otro dispositivo y activa la verificación en dos pasos. Si diste datos bancarios, contacta con tu banco en ese mismo momento. No esperes "a ver qué pasa".
¿Los enlaces de WhatsApp son más peligrosos que los de email?
El vector cambia, el riesgo es el mismo. WhatsApp tiene la particularidad de que muestra una previsualización generada por el remitente, que puede no coincidir con el destino real. Además, en móvil es más difícil inspeccionar la URL completa. Aplica las mismas precauciones: si no esperabas el mensaje, desconfía.
El siguiente paso
Instala la extensión de navegador de VirusTotal (disponible para Chrome y Firefox). Con ella, puedes hacer clic derecho sobre cualquier enlace y seleccionar "Scan with VirusTotal" sin salir de la página. Es gratuita, pesa poco y convierte el proceso de verificar un enlace en algo que haces en dos clics. Configúrala ahora mismo —lleva menos de un minuto— y habrás eliminado la excusa de "no me dio tiempo a comprobarlo".
