2check.click

Precisión de detección y pruebas

Cómo probamos 2check.click con amenazas reales, qué se detecta de forma fiable y dónde están las limitaciones actuales.

Resumen de pruebas

Cada cambio en el motor de detección se valida en un corpus de pruebas estructurado antes de pasar a producción. El corpus está dividido en tres partes, cada una de las cuales prueba un aspecto diferente del proceso de análisis.

Pruebas de URL

Probamos con muestras de tres feeds públicos de inteligencia de amenazas — URLhaus, OpenPhish y GitHub Phishing.Database — que cubren más de 300 URL maliciosas confirmadas. Junto a ellas, un conjunto elaborado manualmente de 98 URL seguras (sitios legítimos populares, dominios oficiales de marcas, portales gubernamentales) sirve como grupo de control para comprobar los falsos positivos.

Pruebas de mensajes

El analizador de mensajes se prueba con 100 muestras etiquetadas manualmente: 50 mensajes de phishing confirmados (SMS, correo electrónico y chat) y 50 seguros (notificaciones habituales, confirmaciones de pedidos, avisos de entrega). Cada caso se revisa individualmente para que la etiqueta refleje la intención real del mensaje.

Revisión de inteligencia de amenazas

Además de la precisión de aprobado/reprobado, hacemos seguimiento de la tasa de detección por categorías de amenaza: suplantación de marca, estafa de entrega, imitación de organismos públicos, robo de credenciales — para identificar brechas sistemáticas. Cuando una categoría cae por debajo de un umbral, se activa un ciclo de mejora de reglas específico, no un aumento general de puntuaciones que empeoraría la tasa de falsos positivos.

Resultados actuales

Resultados de la última ejecución de validación. Estas cifras se actualizan con cada versión del motor de detección.

≈ 96%Detección URLhausFeed de amenazas real
≈ 94%Detección de mensajesSMS y correos de phishing
≈ 95%Detección totalEn todos los conjuntos de prueba
0%Falsos positivosEn corpus de URL seguras

La tasa de detección se mide a nivel de riesgo MEDIO y superior (puntuación ≥ 26). La tasa de falsos positivos se mide en un corpus de 98 URL seguras — ninguna fue marcada en ningún nivel de riesgo.

Qué se detecta bien

El motor de detección está diseñado específicamente para señales a nivel de URL — lo que es visible en el propio enlace sin visitar la página de destino.

  • Dominios de phishing y URL similares

    Dominios que imitan visualmente marcas conocidas mediante caracteres homoglifos, sustitución de dígitos o errores tipográficos en teclas adyacentes — por ejemplo paypa1.com o arnazon.com.

  • Ataques de suplantación de marca

    Marcas integradas en subdominios o rutas para aparentar legitimidad — por ejemplo amazon.com.fake-site.net o login.microsoft.com.phishing.xyz.

  • Estafas con códigos QR

    Los códigos QR que llevan a URL de phishing pasan por el mismo análisis de URL que los enlaces introducidos manualmente — el código QR se decodifica localmente antes de verificar el destino.

  • Estafas de entrega e imitación de organismos públicos

    El análisis de mensajes detecta patrones de urgencia, solicitudes falsas de seguimiento de paquetes, palabras clave fiscales y de prestaciones típicas del phishing por SMS y correo electrónico.

  • Técnicas de ofuscación de URL

    La codificación porcentual, la doble codificación, las URL con base64, las entidades HTML y los escapes Unicode se decodifican todos y se analiza el destino final.

  • Cadenas de redirección sospechosas

    La resolución de enlaces cortos revela cadenas de redirección de múltiples pasos, y cada salto intermedio se evalúa de forma independiente por su riesgo — no solo la dirección final.

Limitaciones conocidas

La detección honesta significa reconocer lo que 2check.click no puede detectar de forma fiable. Estas son limitaciones estructurales del análisis de URL del lado del cliente — no descuidos.

  • Phishing solo a nivel de contenido

    Los sitios de phishing que usan un dominio limpio sin vínculos de marca en la URL son invisibles para el análisis de URL. El engaño reside completamente en el contenido de la página — que 2check.click nunca carga ni muestra intencionadamente.

  • Dominios limpios registrados recientemente

    Un dominio completamente nuevo con un nombre neutro y sin palabras clave sospechosas es indistinguible de un negocio legítimo nuevo. Sin contenido de página ni señales de comportamiento, no hay indicadores de URL que evaluar.

  • Ingeniería social sin indicadores de URL

    El phishing que se basa en un contexto de confianza — por ejemplo, un mensaje que parece proceder de un conocido con un enlace a un documento compartido — puede no contener ninguna señal detectable en el enlace.

  • Marcas nuevas sin registro en la base de datos

    Un dominio que imita una marca que aún no está en nuestra base de datos no activará la detección específica de esa marca. La base de datos cubre actualmente unas 200 marcas conocidas y se amplía en ciclos de mantenimiento.

Por qué importa la transparencia

Las herramientas de seguridad que publican sus propias limitaciones son poco frecuentes. Un atacante que sabe exactamente dónde falla una herramienta podría diseñar una evasión. Pero para un analizador de phishing orientado a usuarios no técnicos, el cálculo es diferente.

Las personas que confían en 2check.click no son investigadores de seguridad en busca de brechas. Son alguien que acaba de recibir un SMS sospechoso y quiere saber si es seguro hacer clic. Para esa persona, el objetivo es la confianza informada. Saber que la herramienta detecta el 96% de las amenazas conocidas, reconociendo honestamente que los dominios limpios recién registrados pueden escapar, ayuda a tomar mejores decisiones que una vaga afirmación de 'protección integral'.

La transparencia también impulsa la mejora continua. Cada falso positivo o amenaza no detectada reportada a través del formulario de reporte va directamente a la siguiente actualización de reglas. Los usuarios que entienden lo que la herramienta intenta hacer y dónde tiene dificultades envían retroalimentación significativamente más útil.

Por último, publicar una metodología de pruebas estructurada crea responsabilidad. Las cifras de esta página provienen de un corpus reproducible, no de ejemplos favorables seleccionados a mano. Si la tasa de detección cae — actualizaremos estas cifras honestamente y corregiremos las reglas.

Preguntas frecuentes

¿Con qué precisión trabaja 2check.click?

Según nuestros conjuntos de prueba, 2check.click alcanza actualmente una detección de aproximadamente el 96% en feeds de amenazas URLhaus, el 94% en mensajes de phishing y el 0% de falsos positivos en URL seguras. Estas cifras reflejan nuestro corpus de pruebas automatizado, que ejecutamos con cada cambio de código para evitar regresiones en producción.

¿Puede el phishing evadir la detección?

Sí. Algunas campañas de phishing están diseñadas específicamente para eludir el análisis de URL. Los atacantes pueden registrar dominios de apariencia limpia sin referencias de marca en la URL, usar dominios recién registrados sin historial o confiar completamente en contenido de página engañoso que solo el navegador ve al cargar. Estas son limitaciones estructurales conocidas que documentamos abiertamente.

¿Por qué importan los falsos positivos?

Un falso positivo — marcar un sitio legítimo como sospechoso — erosiona la confianza tanto como una amenaza no detectada. Si una herramienta lanza falsas alarmas con demasiada frecuencia, las personas dejan de confiar en sus advertencias. Por eso la tasa de cero falsos positivos es un requisito estricto que probamos continuamente, no un objetivo. Si ve que un sitio legítimo es marcado, repórtelo — esos reportes van directamente al ajuste de reglas.

¿Con qué frecuencia se actualizan las reglas de detección?

Las reglas de detección se actualizan con cada versión. El motor está actualmente en modo de mantenimiento — las nuevas heurísticas se añaden solo para corregir falsos negativos o falsos positivos confirmados, no para ampliar la cobertura de forma arbitraria. Cada cambio se valida en el corpus de pruebas completo antes de pasar a producción.

¿Qué fuentes de datos se usan para las pruebas?

Nuestro conjunto de validación incluye tres feeds públicos de inteligencia de amenazas — URLhaus, OpenPhish y GitHub Phishing.Database — más un conjunto elaborado manualmente de 98 URL seguras y 50 mensajes seguros. Todas las muestras de prueba se ejecutan localmente; ninguna URL ni mensaje se envía a servicios externos durante las pruebas.

¿Encontró un falso positivo o una estafa no detectada? Reportar un problema — cada reporte influye en la próxima actualización de detección.

¿Listo para probarlo? Verifique un enlace sospechoso →