¿Qué es el phishing de URL? Todo lo que debes saber
Cada día, un sinfín de personas hacen clic en enlaces mientras navegan por Internet o leen sus correos electrónicos. Muchos de ellos son totalmente seguros y dirigen al usuario a webs legítimas y de confianza.
Sin embargo, algunos enlaces son trampas maliciosas que redirigen a los usuarios a webs falsas y peligrosas que pueden robar sus datos personales. Esto se conoce como phishing de URL: una técnica de estafa muy utilizada por los ciberdelincuentes de todo el mundo.
Esta guía analiza qué es el phishing de URL, cómo funciona y cómo evitarlo.
Entender el phishing de URL
En pocas palabras, el phishing de URL es una técnica de estafa en la que los ciberdelincuentes engañan a las personas para que hagan clic en enlaces y visiten web fraudulentas.
A menudo, diseñan los enlaces para que parezcan legítimos y atractivos, y los distribuyen por correo electrónico, SMS u otras plataformas de mensajería. Los enlaces también suelen dirigir a webs que parecen seguras y auténticas, muchas de ellas diseñadas para parecerse a plataformas de redes sociales conocidas, mercados en Internet, web de bancos, etc.
En realidad, estas webs suelen ser falsas y maliciosas, gestionadas por ciberdelincuentes que esperan a que las víctimas hagan clic en los enlaces y terminen en sus webs. Una vez allí, las víctimas suelen tener una falsa sensación de seguridad y pueden revelar sus datos sin darse cuenta. Por ejemplo, pueden facilitar sus nombres de usuario y contraseñas pensando que están iniciando sesión en una web segura.
El motivo por el que esta estafa funciona tan bien se debe, en gran medida, a que los estafadores usan una serie de herramientas y técnicas para hacerte creer que los enlaces y las webs son seguros. A veces, incluso a los usuarios de Internet con experiencia les puede resultar difícil distinguir un enlace o una URL maliciosos de uno auténtico. Por este motivo, cada año cientos de miles de personas son víctimas del phishing de URL.
Tipos de ataques de phishing de URL
Todos los ataques de phishing de URL consisten en que los estafadores animan a las víctimas a hacer clic en enlaces, pero la naturaleza exacta de estos ataques puede variar. Estos son algunos de los distintos tipos de tácticas de phishing de URL que usan los estafadores:
Typosquatting
Este ataque consiste en que los estafadores crean webs falsas con URL muy similares a las de web legítimas que ya existen, pero con un ligero cambio ortográfico. Luego esperan que los usuarios cometan accidentalmente un error tipográfico al introducir la URL y terminen en sus sitios falsos, que están diseñados para que se parezcan mucho a los reales. Un ejemplo podría ser «Googel» en lugar de «Google».
Enlaces enmascarados
Esta técnica consiste en ocultar un enlace malicioso detrás de otro que parece totalmente seguro. Los estafadores podrían escribir la URL de una web que conoces y en la que confías para que creas que ese es el destino del enlace. En realidad, te lleva a una web completamente diferente, y solo puedes ver el enlace real si pasas el cursor por encima o lo inspeccionas.
Dominios legítimos pero comprometidos
En algunos casos, los estafadores y los ciberdelincuentes pueden obtener acceso a webs legítimas, comprometiendo su seguridad. A continuación, solo tienen que esperar a que los usuarios inicien sesión y faciliten sus datos a través de formularios de usuario o descarguen archivos maliciosos. Como la web parece segura y real, los usuarios son más propensos aún a ser víctimas de este tipo de ataques.
Prefijos mal formados
Muchos usuarios leen las URL rápidamente y es posible que no noten pequeñas diferencias en el prefijo, sobre todo si el resto del dominio parece correcto. Los atacantes se aprovechan de esto haciendo que la URL parezca legítima a primera vista, por ejemplo, sustituyendo una W por dos vs. en wvvw.google.com.
Trucos de subcarpetas
Estos ataques consisten en dominios reales que han sido comprometidos. Los estafadores obtienen acceso a un dominio legítimo de alguna manera y crean una nueva subcarpeta o página web maliciosa, como «webauténtica.com/páginamaliciosa. El usuario asume que esa página es segura, ya que está vinculada a una web legítima. En realidad, está controlada por estafadores.
Cadenas de redireccionamiento
Algunas webs utilizan redireccionamientos para enviar automáticamente a los usuarios a otras webs o páginas. Los estafadores pueden usar esa técnica en su beneficio. Crean un enlace que parece que te enviará a una web segura y legítima, pero en su lugar lo configuran para que te redirija a una de sus web falsas y maliciosas.
Suplantación de HTTPS y SSL
Esta forma de phishing de URL consiste en que los atacantes crean webs que son prácticamente idénticas a las originales en todas las maneras posibles. La gran diferencia es que, en lugar de tener conexiones HTTPS seguras y certificados SSL, en realidad son webs no seguras y maliciosas que se usan para robar los datos de las personas.
Phishing de URL con imágenes
La mayoría de los enlaces son de texto, pero también es posible ocultar enlaces en imágenes u otros elementos de la página. Por lo tanto, los atacantes pueden ocultar sus enlaces maliciosos de phishing de URL tras imágenes, banners o incluso dentro de códigos QR, de modo que cuando los usuarios hacen clic o escanean lo que parece ser una imagen o un código inocente, terminan en una web dañina. Esta estrategia elimina por completo la necesidad de disfrazar la URL con algo que parezca legítimo, ya que permanece invisible en todo momento.
Mezcla de enlaces maliciosos con enlaces legítimos
Este ataque consiste en que los estafadores envían correos electrónicos y mensajes o crean páginas web completas con una mezcla de enlaces incrustados en ellas. Algunos de esos enlaces son seguros y legítimos, y te llevan a webs reales; en cambio, otros son maliciosos, pero la presencia de algunos enlaces seguros induce a las víctimas a una falsa sensación de seguridad.
Cómo identificar una URL de phishing
Es importante saber cómo detectar un enlace de phishing o una URL falsa si quieres evitar convertirte en una de las muchas víctimas de este tipo de estafa. A continuación, te indicamos algunas formas de detectar enlaces de phishing:
Identificar errores ortográficos sutiles
Antes de hacer clic en un enlace, lee atentamente la URL. Como se ha explicado anteriormente, los enlaces de phishing suelen ser muy similares a los auténticos, pero con ligeras diferencias y señales reveladoras, como errores ortográficos, caracteres adicionales o nombres de dominio diferentes, como .net al final en lugar de .com.
Pasar el cursor por encima de los enlaces para obtener una vista previa
En los ordenadores y portátiles, puedes pasar el cursor por encima de un enlace para ver a dónde te va a enviar. La dirección suele aparecer en la esquina inferior de la ventana del navegador web. Si tienes sospechas y te preguntas: «¿es este un enlace de phishing?», pasa siempre el cursor por encima para comprobarlo.
Verificar los certificados HTTPS y de dominio
Los sitios legítimos tienen «HTTPS» al principio de sus direcciones URL, lo que es una señal de que el sitio es seguro y tiene un certificado SSL. Los sitios falsos también pueden tener direcciones HTTPS, pero la mayoría de las veces suelen tener solo «HTTP» al principio.
Usar los indicadores de seguridad del navegador
Muchos navegadores tienen herramientas de seguridad integradas que te alertan si estás siendo redirigido a una web sospechosa o maliciosa. Todos los antivirus de renombre también ofrecen protección antiphishing, normalmente en forma de extensiones para el navegador. Usa estas herramientas e indicadores de seguridad para evitar acabar en webs poco seguras.
Verificación cruzada con escáneres de URL y códigos QR maliciosos
Los escáneres de URL son herramientas que pueden comprobar los enlaces de las webs por ti, informándote de posibles amenazas, como malware o enlaces sospechosos de phishing. Si deseas comprobar si un enlace es de phishing, vale la pena añadirlo a tus marcadores y usar un escáner de URL para ello. Del mismo modo, para comprobar un código QR sin visitar la web al que lleva, usa un escáner de códigos QR que te permita previsualizar el enlace antes de abrirlo.
Ejemplos reales de phishing de URL
A continuación, vamos a examinar cómo suelen presentarse los ataques de phishing mediante URL, analizando algunas de las formas más comunes en que los estafadores disfrazan sus enlaces para engañar a sus víctimas.
Página de inicio de sesión bancaria falsa
Los estafadores suelen crear correos electrónicos, alertas y páginas de inicio de sesión bancarias falsas para asustar a las víctimas y hacerles creer que deben dinero o que sus finanzas están en peligro. Presas del pánico, las víctimas son más propensas a hacer clic en los enlaces y a introducir sus datos, cediendo el acceso a sus cuentas a los delincuentes.
Estafa de notificación de entrega
Como cada vez más personas compran en Internet, los estafadores crean cada vez más notificaciones de entrega falsas de servicios de correo como FedEx o USPS. Los mensajes suelen pedirte que confirmes tus datos antes de poder recibir un paquete, pero en realidad te llevan a webs falsas.
Alerta de cuenta vulnerada
Muchos mensajes de phishing con URL ocultan enlaces en mensajes diseñados para asustar o provocar pánico en la víctima. Algunos mensajes pueden decir, por ejemplo, que una de tus cuentas ha sido hackeada y que debes hacer clic en un enlace y confirmar tus datos para recuperarla.
Enlace falso de donación benéfica
Un método especialmente cruel que emplean algunos estafadores es enviar mensajes fingiendo ser de organizaciones benéficas y sin ánimo de lucro, en los que piden a los usuarios que hagan donaciones para causas dignas. En realidad, las víctimas solo están dándoles dinero directamente a los estafadores.
Redireccionamiento de pagos de tiendas online
Esta técnica de estafa consiste en que los estafadores crean webs falsas que se parecen a mercados y tiendas online reales. Te envían un mensaje promocional, normalmente por correo electrónico, con enlaces que te dirigen a su web falsa, donde puedes acabar cediéndoles tus datos de pago.
Cómo denunciar una URL de phishing
Cada día se envían miles de millones de correos electrónicos de phishing, por lo que es muy probable que te encuentres con enlaces de phishing de vez en cuando. Si es así, hay medidas que puedes tomar para denunciarlos y contribuir a detener a los estafadores.
Ponte en contacto con la organización suplantada
Si una URL falsa se hace pasar por un enlace a una web de confianza, como un banco, una tienda o una plataforma de redes sociales, puedes ponerte en contacto con la empresa real e informarles.
Denuncia mediante las herramientas del navegador
Existen varias herramientas de navegador que permiten denunciar de forma rápida y sencilla posibles estafas, como la navegación segura de Google Chrome.
Enviar a especialistas de seguridad
También puedes informar a especialistas en seguridad, como desarrolladores o proveedores de antivirus, sobre webs sospechosas de phishing para que puedan tomar las medidas adecuadas para acabar con ellas.
Informa a tu servicio de correo electrónico/chat
Si recibes enlaces de phishing en tu bandeja de entrada de correo electrónico o a través de mensajes directos en una plataforma de chat, no está de más informar al equipo de soporte técnico de la plataforma, ya que es posible que puedan identificar y bloquear las cuentas infractoras.
Notifica a las agencias de ciberseguridad (por ejemplo, FTC, CISA)
También puedes denunciar todo tipo de estafas en Internet y actividades maliciosas a las principales autoridades, como la Comisión Federal de Comercio (FTC), la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) o el Centro Nacional de Ciberseguridad en el Reino Unido.
Protégete del phishing de URL con Threat Manager de ExpressVPN
Saber cómo detectar la suplantación de URL y los enlaces de phishing es un gran paso para protegerte. No obstante, un método mucho más sencillo es dejar que herramientas de protección específicas lo hagan automáticamente por ti.
Una de estas herramientas es Threat Manager de ExpressVPN, que viene incluida con todas las suscripciones a ExpressVPN. Identifica y bloquea automáticamente las amenazas con las que te puedes encontrar durante tus sesiones en Internet. Puede detectar enlaces de phishing, webs maliciosas, malware y dominios que difunden spam sin que tengas que mover un dedo.
Threat Manager compara las URL de las webs con una lista continuamente actualizada y seleccionada de webs fraudulentas o dañinas conocidas y bloquea cualquier conexión antes de que el peligro te alcance.
Preguntas frecuentes sobre el phishing de URL
¿Qué sucede si hago clic en un enlace de phishing?
Puede que no corras ningún riesgo de inmediato, pero si introduces datos personales en la web falsa que visitas o haces clic en otros enlaces, podrías acabar cediendo tus datos personales, descargando virus o siendo estafado de otras maneras.
¿Qué pueden hacer los enlaces de phishing?
Los enlaces de phishing pueden engañar a los usuarios para que visiten webs que parecen auténticas, induciéndolos a ceder sus datos, pagar por productos que no existen o que no se entregarán, o descargar malware.
¿Cómo elimino un ataque de phishing de URL?
Puedes eliminar cualquier mensaje sospechoso de phishing que te hayan enviado y denunciar las web sospechosas de phishing a las distintas autoridades para que tomen medidas y las eliminen.
¿Cuál es un ejemplo de phishing de URL?
Un ejemplo podría ser un estafador que crea una web falsa que se parece a tu banco online. Luego te envía un mensaje, alegando que hay un problema con tu cuenta y pidiéndote que hagas clic en un enlace y confirmes tus datos. Si haces clic e introduces tus credenciales en la web falsa, podrías darles esa información a los estafadores.
¿Cómo es una URL sospechosa?
Las URL sospechosas o de phishing pueden parecer totalmente seguras y legítimas a primera vista, pero a menudo tienen errores tipográficos u otras diferencias sutiles que las diferencian de las direcciones web auténticas y de confianza.
¿Cuál es un ejemplo de suplantación de URL?
Un ejemplo de suplantación de URL sería algo como «amaz0n.com» o «amazon1.com», que están diseñados para parecerse a los enlaces oficiales de Amazon, pero con leves diferencias.
¿Cómo puedo saber si una URL es de phishing?
Puedes leerla para buscar errores tipográficos o incoherencias, pasar el ratón por encima para ver a dónde te quiere dirigir, o usar herramientas como los escáneres de URL o Threat Manager de ExpressVPN, que se incluye con nuestra suscripción a la VPN, para ayudarte a detectar y bloquear automáticamente las web de phishing.
Da el primer paso para protegerte en Internet. Prueba ExpressVPN sin riesgos.
Obtén ExpressVPN
