2check.click

5 min de lectura Actualizado: junio de 2026

¿Qué es la ofuscación de URL? Técnicas para ocultar destinos

La ofuscación de URL es el conjunto de técnicas que los atacantes usan para disfrazar el destino real de un enlace. El objetivo es evitar que la víctima detecte la URL maliciosa a simple vista y, al mismo tiempo, eludir los filtros de seguridad automáticos que analizan los enlaces en correos y mensajes.

¿Por qué los atacantes ocultan las URL?

Una URL de phishing obvia como bbva-datos-robados.xyz/login despertaría sospechas inmediatas. La ofuscación permite que el enlace parezca inofensivo o directamente ilegible para un humano, mientras sigue funcionando como redireccionamiento al sitio fraudulento cuando el navegador lo procesa.

Técnicas principales de ofuscación

1. Codificación porcentual (percent-encoding)

Los caracteres de una URL se sustituyen por su representación hexadecimal con el prefijo %. Por ejemplo, la letra "a" se convierte en %61, y un punto en %2E. Una URL como http://bbva%2Ees%2Flogin apunta realmente a http://bbva.es/login cuando el navegador la decodifica — aunque en este caso sería el sitio legítimo. Los atacantes usan esta técnica para que los filtros no reconozcan el dominio.

2. Codificación base64

La URL de destino se codifica en base64 y se incluye como parámetro de otro enlace. Por ejemplo: https://redireccion.com/go?url=aHR0cHM6Ly9waGlzaGluZy5leGFtcGxl. El texto aHR0cHM6Ly9waGlzaGluZy5leGFtcGxl es simplemente la URL maliciosa codificada en base64. 2check.click decodifica automáticamente estos parámetros.

3. Acortadores de URL

Servicios como bit.ly o t.co convierten una URL larga en un enlace corto opaco. El destino real no es visible hasta que se sigue la redirección. Más información en nuestra guía sobre enlaces acortados.

4. Redirecciones abiertas

Una redirección abierta es un parámetro en un sitio legítimo que reenvía al visitante a cualquier URL externa. Por ejemplo: https://empresa-legitima.com/redirect?to=https://phishing.com. El atacante usa el dominio de confianza en la parte visible del enlace, y la URL maliciosa queda oculta como parámetro.

5. Trucos de subdominio

El nombre de la marca se coloca como subdominio del dominio del atacante: bbva.es.login-fraudulento.com. A primera vista, la parte visible parece legítima. El dominio real (login-fraudulento.com) solo se ve si se lee la URL completa con atención.

6. Caracteres homógrafos

Se sustituyen letras latinas por caracteres visualmente idénticos de otros alfabetos (cirílico, griego). La URL parece perfecta pero apunta a un dominio distinto. Consulte nuestra guía sobre ataques homógrafos.

7. Codificación HTML y escapes Unicode

En el código fuente de un correo HTML, los caracteres de la URL pueden representarse como entidades HTML (http) o secuencias de escape Unicode (http). El cliente de correo los renderiza normalmente, pero los filtros de texto plano no los reconocen como URL.

Cómo detectar URL ofuscadas

  • Pase el cursor sobre el enlace (sin hacer clic) para ver la URL en la barra de estado del navegador o cliente de correo.
  • Desconfíe de URL con cadenas de caracteres aleatorios, muchos signos %, o parámetros largos codificados en base64.
  • Ante cualquier duda, copie el enlace y analícelo en 2check.click — el analizador decodifica automáticamente codificación porcentual, base64, entidades HTML y escapes Unicode, y muestra el destino real.

Técnicas combinadas

Los ataques más sofisticados combinan varias técnicas: un enlace acortado que redirige a un dominio con una redirección abierta que a su vez apunta a la URL de phishing real codificada en base64. Cada capa añade dificultad de análisis tanto para humanos como para filtros automáticos.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Cómo puedo saber si una URL está codificada en base64?

Las cadenas base64 contienen letras mayúsculas y minúsculas, dígitos, y los caracteres + y /, y suelen terminar con uno o dos signos =. Si ve un parámetro de URL con ese aspecto (por ejemplo, ?url=aHR0cH...), probablemente sea una URL codificada. 2check.click la decodifica y analiza automáticamente.

¿La codificación porcentual siempre es sospechosa?

No. La codificación porcentual es parte normal del estándar de URL y se usa legítimamente para caracteres especiales (espacios, tildes, etc.). Es sospechosa cuando se usa de forma excesiva para ofuscar caracteres que no necesitan codificación, como letras o puntos del dominio.

¿Los filtros de correo detectan la ofuscación?

Los filtros modernos decodifican muchas técnicas de ofuscación, pero los atacantes actualizan continuamente sus métodos para eludir las reglas conocidas. La combinación de varias capas de ofuscación puede confundir incluso a los filtros empresariales más avanzados.

¿Una redirección abierta en un sitio legítimo es culpa de ese sitio?

Sí, en parte. Las redirecciones abiertas son una vulnerabilidad de seguridad que los desarrolladores web deberían evitar. Permiten que los atacantes abusen de la reputación de un dominio legítimo para camuflar sus enlaces maliciosos. Muchas organizaciones las corrigen cuando las descubren.

¿El análisis de 2check.click descarga o abre la URL sospechosa?

No. El analizador de URL funciona completamente en el navegador del usuario para el análisis de patrones y codificación. Para las redirecciones, el Worker de Cloudflare usa únicamente peticiones HEAD (sin descargar el contenido de la página) y está protegido contra ataques SSRF. Ninguna URL analizada se abre ni se navega.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados