2check.click

6 min de lectura Actualizado: junio de 2026

Cómo los enlaces de phishing evaden los filtros de seguridad

Los proveedores de correo electrónico, las empresas y los sistemas de seguridad invierten enormes recursos en filtros que detectan y bloquean phishing. Aun así, los mensajes maliciosos llegan constantemente a las bandejas de entrada. Esto ocurre porque los atacantes han desarrollado técnicas específicas para eludir cada mecanismo de defensa. Entender estas técnicas explica por qué los filtros no son suficientes por sí solos.

1. Dominios nuevos y limpios

Los filtros de seguridad trabajan con listas negras de dominios conocidos como maliciosos. Un dominio registrado hace pocas horas no aparece en ninguna lista y pasa los controles sin problemas. Los atacantes registran dominios en masa y los usan brevemente antes de que sean detectados, luego pasan al siguiente.

Señal asociada: dominios con muy poca antigüedad (días o semanas) en comunicaciones urgentes son una alerta aunque el dominio parezca limpio.

2. Redirección a través de servicios legítimos

El enlace en el correo no apunta directamente al sitio de phishing, sino a un servicio legítimo de confianza que después redirige al destino malicioso:

  • Formularios de Google (docs.google.com)
  • Microsoft SharePoint o OneDrive (sharepoint.com, onedrive.live.com)
  • Dropbox o Box (dropbox.com, box.com)
  • Sites de GitHub Pages o Netlify

Los filtros confían en estos dominios y permiten el paso. La víctima termina en una página de phishing alojada en la infraestructura de una empresa conocida.

3. Reescritura de enlaces por sistemas de seguridad empresarial

Muchas empresas usan sistemas de "URL rewriting" que sustituyen los enlaces de los correos por URLs del propio sistema de seguridad. Cuando el empleado hace clic, el sistema analiza el destino en tiempo real. Los atacantes han aprendido a explotar esto:

  • Envían correos con un enlace inofensivo que pasa el análisis inicial.
  • Horas después, cuando la víctima hace clic, el sistema de seguridad analiza la URL reescrita pero el destino ya ha cambiado a contenido malicioso (ataque time-of-click).

4. Códigos QR en lugar de URLs de texto

Los filtros de correo analizan el texto del mensaje en busca de URLs sospechosas. Una imagen con un código QR no contiene ningún texto enlazado: el filtro ve solo una imagen y no puede extraer la URL que codifica. El enlace malicioso solo se revela cuando la víctima escanea el código con su teléfono, momento en el que ya está siendo dirigida al sitio fraudulento.

Esta técnica (quishing) ha aumentado notablemente porque elude casi todos los sistemas de análisis de correo corporativo.

5. Caracteres homógrafos que engañan a los escáneres

Los sistemas de detección buscan dominios de phishing conocidos o patrones de texto. Si el dominio usa caracteres visualmente idénticos de otro alfabeto, el escáner no reconoce la coincidencia:

  • El dominio раурal.com (con letras cirílicas) parece "paypal.com" pero es técnicamente otro dominio.
  • Un escáner que busque la cadena "paypal" en texto ASCII no la encontrará.

6. Acortadores de URL y cadenas de redirección

El enlace en el correo apunta a un acortador de URL legítimo (bit.ly, t.co, tinyurl.com) o a una cadena de varios sitios intermedios. El filtro ve el acortador, que está en lista blanca, y lo permite. La URL final del sitio de phishing nunca es analizada directamente por el filtro de entrada.

7. Páginas CAPTCHA que bloquean los rastreadores

Al hacer clic en el enlace, la víctima ve primero una página con un CAPTCHA (desafío de "no soy un robot"). Los sistemas automáticos de análisis de seguridad no pueden resolver CAPTCHAs y, al fallar, ven la página como inaccesible o inofensiva. Solo los usuarios humanos superan el CAPTCHA y llegan a la página de phishing real.

8. Geofencing y detección de IP

La página maliciosa detecta la dirección IP de quien la visita:

  • Si la IP pertenece a un rango conocido de empresas de ciberseguridad, servicios de análisis automático o centros de datos, muestra contenido inofensivo.
  • Si la IP pertenece a un usuario de la región objetivo (por ejemplo, España o México), muestra la página de phishing real.

Esta técnica (geofencing o IP filtering) hace que el sitio parezca limpio cuando lo analiza un sistema automatizado pero muestre contenido malicioso a las víctimas reales.

9. Codificación de URLs

Los filtros buscan patrones de texto conocidos (nombres de marcas, dominios de phishing conocidos). Si la URL está codificada en percent-encoding, Base64 o HTML entities, el filtro no reconoce los patrones y la URL pasa sin ser detectada.

Qué significa esto para usted

Ningún filtro puede garantizar protección total. Los ataques más sofisticados combinan varias de estas técnicas simultáneamente: un dominio nuevo, alojado en infraestructura legítima, con un CAPTCHA y detección de IP. La responsabilidad individual de verificar los enlaces antes de hacer clic sigue siendo la defensa más efectiva.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

Si mi empresa tiene filtros de correo avanzados, ¿estoy protegido?

Los filtros empresariales reducen significativamente el riesgo pero no lo eliminan. Las técnicas descritas en esta guía están diseñadas específicamente para eludir sistemas de seguridad sofisticados. El phishing con QR codes, geofencing o redirección a través de servicios legítimos es efectivo incluso contra soluciones de seguridad corporativas.

¿Por qué los filtros no aprenden más rápido?

Los filtros aprenden de amenazas conocidas. Las técnicas nuevas, los dominios recién registrados y los métodos de evasión novedosos siempre van por delante de la detección. Es un juego de gato y ratón permanente: cuando los filtros aprenden a detectar una técnica, los atacantes pasan a la siguiente.

¿El hecho de que un correo haya pasado los filtros significa que es legítimo?

No. Que un mensaje esté en su bandeja de entrada en lugar de en spam solo indica que no fue detectado por los filtros actuales. No es una validación de su legitimidad. Trate cualquier comunicación urgente no esperada con el mismo nivel de precaución, independientemente de si llegó a spam o no.

¿Qué debo hacer cuando recibo un enlace en un correo urgente?

No haga clic directamente. Copie la URL, analícela en 2check.click, o bien navegue manualmente al sitio oficial escribiendo la dirección directamente en el navegador. Si el correo dice ser de su banco, abra el sitio del banco por su cuenta, no a través del enlace del correo.

¿Los filtros de spam móviles son diferentes a los de correo de escritorio?

Los filtros de spam en clientes móviles suelen ser menos potentes que los sistemas corporativos o los de proveedores como Gmail. Los SMS y mensajes de aplicaciones de mensajería tienen filtros mucho más limitados, lo que hace que el smishing (phishing por SMS) sea particularmente efectivo.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados