2check.click

6 min de lectura Actualizado: junio de 2026

Cómo los atacantes ocultan enlaces maliciosos

Un enlace de phishing tiene que sobrevivir a dos obstáculos: los filtros automáticos de seguridad y el ojo humano. Para evitar ambos, los atacantes han desarrollado un repertorio de técnicas que hacen que un enlace peligroso parezca completamente inofensivo. Conocer estas técnicas es el primer paso para detectarlas.

Técnicas de dominio

Typosquatting

El atacante registra un dominio con un pequeño error tipográfico respecto al original. La diferencia es mínima y fácil de pasar por alto:

  • arnazon.com (rn en lugar de m)
  • paypa1.com (uno en lugar de ele)
  • gogle.com (o eliminada)
  • bancosantanderr.es (r duplicada)

El typosquatting explota la velocidad a la que leemos: nuestro cerebro completa palabras familiares automáticamente y pasa por alto los errores.

Ataques de homógrafos

Esta técnica es especialmente insidiosa: se usan caracteres de otros alfabetos (cirílico, griego, armenio) que son visualmente idénticos a letras latinas. El dominio parece correcto pero en realidad es completamente diferente:

  • La "а" cirílica se ve igual que la "a" latina pero es un carácter distinto.
  • Un dominio como раурal.com puede verse como "paypal.com" pero no lo es.

Los navegadores modernos convierten estos dominios al formato Punycode (xn--pypal-xxx.com) para hacer visible la diferencia, pero no todos los clientes de correo hacen lo mismo.

Abuso de subdominios

La marca legítima se coloca como subdominio, mientras que el dominio real pertenece al atacante:

  • bbva.es.acceso-cuenta.xyz — el dominio real es acceso-cuenta.xyz
  • correos.es.seguimiento.top — el dominio real es seguimiento.top

Una lectura rápida registra el nombre familiar al principio y lo asocia con legitimidad, ignorando lo que viene después.

Técnicas de codificación

Codificación porcentual (percent-encoding)

Los caracteres de la URL se sustituyen por su representación hexadecimal precedida de %. Un filtro que busca la palabra "paypal" no la encontrará si está escrita como %70%61%79%70%61%6C.

Base64 en parámetros

La URL de destino se codifica en Base64 y se coloca dentro de un parámetro. El enlace visible parece una URL legítima con un parámetro largo de aspecto técnico, pero el valor decodificado es la URL maliciosa real.

Entidades HTML y escapes Unicode

En el código HTML de un correo, la URL puede estar escrita usando entidades HTML (pay…) o secuencias de escape Unicode (pay…) que los filtros simples no interpretan correctamente.

Técnicas de redirección

Cadenas de redirección

El enlace pasa por varios sitios intermedios antes de llegar al destino malicioso. Cada salto puede ser un sitio legítimo o comprometido. Los filtros de seguridad suelen analizar solo el primer enlace y no siguen toda la cadena.

Open redirects en sitios legítimos

Muchos sitios web tienen funciones de redirección que aceptan cualquier URL externa como destino. El atacante construye un enlace que empieza en el dominio legítimo:

  • https://serviciopublico.gob.es/salir?url=https://phishing.xyz

El filtro ve el dominio gubernamental al inicio y confía en él. La víctima llega al sitio malicioso.

Acortadores de URL

Servicios como bit.ly, tinyurl o t.co convierten cualquier URL en un enlace corto opaco. La URL real queda completamente oculta hasta que el usuario hace clic. Los atacantes usan tanto acortadores conocidos como servicios propios.

Engaños sociales

Texto del botón o enlace diferente a la URL real

En correos HTML, el texto visible de un enlace puede ser completamente diferente a la URL real:

  • El botón dice "Acceda a su cuenta en banco.es"
  • El href apunta a https://phishing-site.com/banco-falso

El texto que ve no tiene ninguna relación con el destino real del enlace. Siempre pase el cursor sobre un enlace antes de hacer clic para ver la URL real en la barra de estado del navegador.

Imágenes como enlaces

El enlace no es texto sino una imagen (el logo de una empresa, un botón de "Verificar ahora"). No hay URL visible al leer el correo, y es fácil hacer clic sin reflexionar sobre el destino.

Códigos QR

El código QR oculta completamente la URL al ojo humano. La víctima solo ve un patrón de cuadrados y puntos que no revela ninguna información sobre el destino. Los filtros de correo electrónico no pueden extraer la URL de una imagen QR. Solo al escanear con el teléfono se revela el enlace, momento en el que ya se está siendo dirigido al sitio.

Esta técnica, conocida como quishing (QR + phishing), ha crecido significativamente porque elude la mayoría de los sistemas de análisis de correo empresarial.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Puedo protegerme de todas estas técnicas manualmente?

Ninguna persona puede detectar todas estas técnicas de forma consistente, especialmente los homógrafos o las cadenas de redirección complejas. La mejor protección es combinar precaución general con herramientas de análisis automático antes de hacer clic en enlaces desconocidos.

¿Cuál es la técnica más peligrosa?

Los ataques de homógrafos y los open redirects son especialmente difíciles de detectar porque el engaño es prácticamente invisible para el ojo humano. Los QR codes son peligrosos porque eliminan cualquier señal visual de advertencia. No hay una técnica "más peligrosa": cada una es efectiva en el contexto adecuado.

¿El HTTPS en la URL del enlace significa que es seguro?

No. Los atacantes obtienen certificados SSL válidos para sus dominios fraudulentos sin ninguna dificultad. HTTPS solo cifra la conexión; no garantiza que el sitio sea legítimo.

¿Cómo puedo ver la URL real detrás de un texto de enlace en un correo?

En un cliente de correo de escritorio, pase el cursor por encima del enlace sin hacer clic: la URL real aparecerá en la barra de estado inferior. En dispositivos móviles, mantenga pulsado el enlace para ver las opciones y la URL de destino.

¿Los acortadores de URL siempre son sospechosos?

No en todos los contextos. En publicaciones de redes sociales o en mensajes de marketing de empresas conocidas son comunes. El riesgo aumenta cuando aparecen en mensajes urgentes no solicitados, SMS de supuestas instituciones bancarias o gubernamentales, o cualquier comunicación que pida acción inmediata.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados