Patrones de URL sospechosos: señales de advertencia en los enlaces

No todos los enlaces peligrosos son fáciles de detectar a primera vista. Sin embargo, los atacantes suelen usar patrones repetibles que, una vez que los conoce, puede identificar rápidamente. Esta guía repasa las señales más comunes en URLs de phishing y malware.

Patrón 1: La marca aparece en el subdominio, no en el dominio

Esta es la señal de alerta más importante. La marca conocida aparece antes del dominio real del atacante:

• paypal.com.verificacion-cuenta.xyz — el dominio real es verificacion-cuenta.xyz
• bbva.es.seguridad-acceso.com — el dominio real es seguridad-acceso.com
• correos.es.seguimiento-paquete.ru — el dominio real es seguimiento-paquete.ru

Regla fundamental: el dominio real es lo que aparece justo antes de la extensión (.com, .es, .xyz). Todo lo anterior son subdominios y pueden ser cualquier cosa.

Patrón 2: Nombre de marca con palabras añadidas

El dominio incluye el nombre de una marca legítima combinado con palabras que suenan oficiales:

• santander-verificacion.com
• correos-seguimiento-envio.es
• amazon-soporte-cliente.net
• hacienda-devolucion-irpf.xyz

Añadir palabras como "seguridad", "login", "verificacion", "soporte" o "oficial" a un dominio no lo hace legítimo. Las empresas reales usan su dominio exacto, sin adiciones.

Patrón 3: Errores tipográficos deliberados (typosquatting)

El dominio imita visualmente a uno legítimo con pequeñas modificaciones:

• arnazon.com (rn en lugar de m)
• paypa1.com (1 en lugar de l)
• gooogle.com (triple o)
• caixabanc.es (sin la k final)

Patrón 4: Extensiones de dominio inusuales

Las organizaciones legítimas usan extensiones conocidas y coherentes con su país o sector. Sospeche cuando vea marcas conocidas con extensiones como:

• .xyz, .top, .click, .icu, .buzz, .tk
• .ru, .cn en comunicaciones de empresas españolas o latinoamericanas

Esto no significa que estos TLDs sean siempre maliciosos, pero son señales de alerta cuando el dominio pretende representar a una marca establecida.

Patrón 5: Dirección IP en lugar de nombre de dominio

• http://185.220.101.32/bbva-login
• http://103.45.67.89/correos-paquete

Ninguna empresa legítima envía a sus clientes URLs con direcciones IP numéricas. Si ve números en lugar de un nombre de dominio, es casi siempre una señal de peligro.

Patrón 6: Número de puerto no estándar

• https://banco.com:8080/login
• http://sitio-falso.xyz:3000/cuenta

Los sitios web legítimos usan el puerto 443 para HTTPS y el 80 para HTTP, que son invisibles en las URLs normales. Un puerto explícito diferente (8080, 3000, 8443…) en un enlace de usuario final es inusual y sospechoso.

Patrón 7: Cadenas aleatorias largas en el dominio o la ruta

• https://xk3p9mw.top/login-banco
• https://real-banco.com/a7f3k2m9p1q8r4t6/verificar

Los dominios legítimos tienen nombres significativos. Las cadenas de caracteres aleatorios suelen indicar dominios generados automáticamente por sistemas de distribución de malware.

Patrón 8: Exceso de guiones en el dominio

• banco-seguro-verificacion-cuenta-cliente.com
• correos-es-seguimiento-paquete-entrega.net

Más de dos guiones en un dominio es un patrón habitual en sitios de phishing. Los dominios legítimos suelen ser cortos y simples.

Patrón 9: La palabra "login", "secure" o "verify" en la ruta

• https://sitio-dudoso.com/login-banco-santander
• https://dominio-falso.net/secure/bbva/acceso

Incluir el nombre de una marca en la ruta (después del dominio) no añade legitimidad. El dominio es lo único que importa para identificar quién controla el sitio.

Patrón 10: Múltiples redirecciones visibles en la URL

• https://sitio.com/redirect?url=https://otro.com/ir?dest=https://phishing.xyz

Varias capas de redirección anidadas en la misma URL son características de cadenas diseñadas para eludir filtros y ocultar el destino final.

Patrón 11: Codificación de caracteres sospechosa

• https://%70%61%79%70%61%6C.com (paypal.com escrito en hexadecimal)
• https://xn--pypal-4ve.com (homoglifo Punycode)

La codificación en la parte del dominio de una URL es inusual en sitios legítimos y casi siempre indica un intento de ocultar el dominio real.

Lista de comprobación rápida

• ¿La marca conocida está justo antes de la extensión (.com, .es)? Si no, es un subdominio.
• ¿Hay errores tipográficos o caracteres sustituidos?
• ¿La extensión del dominio es inusual para esta empresa?
• ¿Hay una dirección IP en lugar de un nombre?
• ¿Aparece un número de puerto en la URL?
• ¿Contiene cadenas aleatorias largas o exceso de guiones?
• ¿Hay parámetros de redirección que apunten a otro dominio?

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Tengo que memorizar todos estos patrones?

No es necesario. Lo más importante es verificar el dominio real (lo que aparece justo antes de la extensión). Para el resto, herramientas como 2check.click analizan automáticamente todos estos patrones.

Una URL no tiene ninguno de estos patrones, ¿está garantizado que es segura?

No. Los atacantes registran dominios que parecen completamente normales y usan dominios limpios recién creados precisamente para evitar las listas de bloqueo. La ausencia de patrones sospechosos reduce el riesgo pero no lo elimina.

¿El candado HTTPS en el navegador garantiza que el sitio es seguro?

No. HTTPS solo indica que la conexión está cifrada, no que el sitio sea legítimo. Los atacantes obtienen certificados SSL para sus dominios de phishing sin ningún problema. Un sitio puede tener HTTPS y ser 100% fraudulento.

¿Las URLs acortadas son automáticamente sospechosas?

Depende del contexto. En publicaciones de redes sociales son comunes y generalmente inofensivas. En un SMS de su banco o en un correo urgente que pide acción inmediata, un acortador es una señal de alerta porque oculta el destino real.