2check.click

5 min de lectura Actualizado: junio de 2026

Por qué los enlaces en los correos se ven diferentes al hacer clic

Recibe un correo de su banco con un botón que dice "Acceder a su cuenta". Antes de hacer clic, pasa el cursor por encima y la barra de estado muestra una URL larga y extraña que no parece tener nada que ver con el banco. ¿Es normal? ¿Es phishing? La respuesta depende de qué hay detrás de ese enlace, y entender las razones legítimas le ayudará a identificar cuándo debe preocuparse.

La razón técnica: HTML separa el texto del destino

En HTML, un enlace tiene dos partes independientes:

<a href="https://destino-real.com/pagina">Texto visible para el usuario</a>

El texto entre las etiquetas puede ser cualquier cosa: "Acceder", "bbva.es", "Haga clic aquí" o incluso la URL de otro sitio. El atributo href es el destino real. El cliente de correo muestra el texto; el navegador abre el href. Esta separación es intencionada y tiene usos completamente legítimos, pero también la explotan los atacantes.

Razones legítimas por las que un enlace apunta a una URL diferente

Tracking de plataformas de email marketing

Servicios como Mailchimp, SendGrid, HubSpot o Brevo reescriben automáticamente los enlaces de cada correo que envían para registrar clics. En lugar de ir directamente a tienda.com/oferta, el enlace pasa por sus servidores de seguimiento:

  • Mailchimp: https://mailchi.mp/xxxxx/track?e=...&u=...
  • SendGrid: https://u12345678.ct.sendgrid.net/ls/click?upn=...
  • Brevo (antes Sendinblue): https://click.brevo.com/...

Estos servidores registran el clic y redirigen inmediatamente al destino original. Es la forma en que las empresas miden cuántas personas leen sus boletines.

Pasarelas de seguridad corporativa (link rewriting)

En entornos empresariales, las pasarelas de seguridad (Microsoft Safe Links, Proofpoint, Mimecast) envuelven los enlaces para analizarlos en tiempo real en el momento del clic. El destino real queda codificado dentro de la URL de la pasarela.

Botones con texto descriptivo

Un correo puede tener un botón que dice "Ver factura" cuyo href es https://facturacion.empresa.com/doc/2024/factura-00123.pdf. El texto es más legible que la URL, y eso es diseño intencional, no engaño.

Cómo los atacantes explotan esta característica

El phishing se aprovecha de que los usuarios leen el texto del enlace y confían en él sin ver el href:

  • Texto visible: www.bbva.es — Verifique su cuenta
  • Destino real: https://bbva-seguridad.net/login?id=...

El usuario ve el nombre del banco y hace clic sin revisar la URL real. El destino es una página de robo de credenciales con el aspecto del banco.

Cómo los clientes de correo móvil ocultan las URLs

En escritorio, pasar el cursor sobre un enlace muestra el destino en la barra de estado. En móvil esta posibilidad no existe: tocar el enlace lo abre directamente. Los atacantes saben que los usuarios móviles tienen menos oportunidades de inspeccionar antes de hacer clic. Algunos clientes móviles muestran una vista previa al mantener el dedo presionado sobre el enlace, pero no todos.

Cómo inspeccionar un enlace antes de hacer clic

  • En escritorio: pase el cursor sobre el enlace sin hacer clic. La URL aparece en la barra de estado del cliente de correo o del navegador.
  • En Android: mantenga presionado el enlace; aparece un menú con la URL y la opción "Copiar enlace".
  • En iPhone / iPad: mantenga presionado el enlace; se muestra una vista previa de la URL en la parte superior del menú emergente.
  • Forma más segura: copie la URL sin abrirla y péguela en 2check.click para analizarla.

La regla práctica: si el dominio en el href no tiene ninguna relación con la empresa que supuestamente envió el correo, sospeche.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, las redirecciones y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

Si el texto del enlace muestra el dominio real del banco, ¿es seguro?

No necesariamente. El texto visible puede ser cualquier cosa; lo que importa es el atributo href, que es el destino real. Revise siempre la URL a la que apunta el enlace, no solo el texto que muestra.

¿Cómo distingo tracking legítimo de phishing?

En el tracking legítimo, el dominio de la URL de seguimiento pertenece a un ESP conocido (mailchi.mp, sendgrid.net, brevo.com) y el destino final es el dominio de la empresa remitente. En phishing, el dominio de destino no tiene relación con el remitente o usa un dominio parecido pero diferente.

¿Puedo ver el href de un enlace en la aplicación de correo del móvil?

En la mayoría de aplicaciones, sí: mantenga presionado el enlace para ver la URL o copiarla sin abrirla. En Gmail para móvil, al mantener presionado aparece un cuadro con la URL completa. Use esa URL para analizarla antes de continuar.

¿Por qué los correos de empresas conocidas tienen URLs tan largas y raras?

Las URLs largas suelen contener parámetros de tracking (identificador de campaña, identificador de destinatario, fecha de envío). Son completamente normales en correos comerciales y de marketing. Lo relevante es el dominio base de la URL, no su longitud.

¿Qué hago si ya hice clic en un enlace sospechoso?

No introduzca ningún dato en la página que se abrió. Cierre el navegador inmediatamente. Si introdujo credenciales, cambie su contraseña desde un dispositivo diferente y active la verificación en dos pasos. Si se trata de una cuenta bancaria, contacte con su banco de inmediato.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados