2check.click

5 min de lectura Actualizado: junio de 2026

Reescritura de enlaces en correos: qué es y cuándo preocuparse

Si trabaja en una empresa grande y hace clic en un enlace de un correo, es posible que note que la URL que se abre no es la que esperaba: en lugar de ir directamente a proveedor.com/oferta, el navegador pasa primero por algo como safelinks.protection.outlook.com/?url=.... Eso es el link rewriting, una función de seguridad de las pasarelas de correo corporativo, y es completamente normal. Pero los atacantes también lo imitan.

Qué es el link rewriting

Las pasarelas de seguridad de correo electrónico (como Microsoft Defender for Office 365, Proofpoint, Mimecast o Barracuda) interceptan todos los mensajes entrantes y reescriben cada URL que contienen. El enlace original queda codificado dentro de la nueva URL. Cuando el usuario hace clic, el sistema de la pasarela:

  1. Extrae el destino original de la URL codificada.
  2. Comprueba en tiempo real si ese destino es malicioso (consultando su base de datos de amenazas).
  3. Si es seguro, redirige al usuario al destino original en milisegundos.
  4. Si es peligroso, muestra una página de advertencia en lugar del destino.

El objetivo es que incluso los enlaces que eran seguros cuando llegó el correo puedan bloquearse si más tarde se descubre que son maliciosos, porque el usuario siempre pasa por la pasarela al hacer clic.

Aspecto de un enlace reescrito legítimamente

Algunos ejemplos de URLs de pasarelas de seguridad conocidas:

  • Microsoft Safe Links: https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fdominio.com%2Fcontrato&data=...
  • Proofpoint: https://urldefense.com/v3/__https://dominio.com__/
  • Mimecast: https://protect-eu.mimecast.com/s/xxxxx/...

La clave es que el destino codificado dentro de la URL (el parámetro url= o __https://...) debe apuntar a un dominio legítimo y conocido.

Link rewriting legítimo frente a phishing

El problema es que los atacantes conocen bien estas pasarelas y pueden imitarlas o aprovecharlas:

  • Imitación: una URL de phishing puede construirse para que parezca una URL de Safe Links, con el dominio de la pasarela real pero el destino apuntando a una página maliciosa.
  • Abuso de pasarelas reales: algunos atacantes consiguen que sus correos maliciosos pasen por pasarelas legítimas (mediante cuentas comprometidas o pruebas de entrega), de modo que el enlace lleva el sello de la pasarela pero el destino es phishing.
  • Delayed activation: el destino parece inocente cuando la pasarela lo analiza, pero horas después el servidor cambia de contenido y sirve una página de robo de credenciales.

Cómo ver el destino real de un enlace reescrito

  • Busque el parámetro url= en la URL de la pasarela y decodifique el valor (reemplace %3A por : y %2F por /). El resultado es el dominio al que realmente irá.
  • Copie la URL completa (reescrita) y péguela en 2check.click: el analizador decodifica la URL interior y evalúa el destino real.
  • Compruebe que el dominio destino coincide con la organización que supuestamente envió el correo.

Cuándo preocuparse

Sospeche si el destino decodificado:

  • No tiene relación con el remitente del correo.
  • Usa un dominio recién registrado o con nombre sospechoso.
  • Incluye redirecciones adicionales o servicios de acortamiento de URL.
  • La URL de la "pasarela" tiene un dominio que no pertenece a ningún proveedor conocido.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, las redirecciones y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Los enlaces con safelinks.protection.outlook.com son siempre seguros?

No. Microsoft Safe Links es una función legítima de seguridad, pero no es infalible. Si el destino aún no estaba clasificado como malicioso en el momento del análisis, el enlace pasa. Compruebe siempre el dominio de destino codificado dentro de la URL.

¿Por qué los correos de mi empresa usan URLs que no reconozco?

Su organización probablemente tiene una pasarela de seguridad de correo que reescribe todos los enlaces. Es una medida normal de protección corporativa, no una señal de fraude. Pregunte a su equipo de TI qué proveedor usa si necesita confirmarlo.

¿Puedo desactivar el link rewriting en mi empresa?

Generalmente no, como usuario individual. Es una política corporativa gestionada por el administrador de seguridad. Aunque puede resultar incómodo, la protección en tiempo real que ofrece suele justificar su uso.

¿El link rewriting protege también en el móvil?

Sí. La reescritura ocurre en el servidor antes de que el correo llegue a su dispositivo, por lo que funciona igual en escritorio y móvil. Lo que varía es la facilidad para inspeccionar el destino antes de hacer clic: en móvil es más difícil ver la URL sin tocar el enlace.

¿Puedo analizar un enlace reescrito sin hacer clic?

Sí. Mantenga presionado el enlace en móvil o pase el cursor por encima en escritorio para copiar la URL. Luego péguela en 2check.click para ver el destino real antes de abrirlo.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados