2check.click

Metodología de detección de phishing

2check.click utiliza señales de seguridad multicapa para evaluar URL, mensajes, correos electrónicos y códigos QR sospechosos. Esta página explica las categorías de señales que se comprueban, cómo se forman los resultados y qué significan las conclusiones — sin revelar las reglas internas que los atacantes podrían usar para evadir la detección.

  • Centrado en la privacidad
  • Sin inicio de sesión requerido
  • Sin datos personales recopilados
  • Análisis anónimo
  • Plataforma educativa de seguridad

Señales que analizamos

Cada verificación evalúa señales de seis amplias categorías. Ninguna señal individual produce un veredicto por sí sola — varias señales se combinan y su interacción es tan importante como cualquier indicador individual.

Estructura de URL

El aspecto bruto de una URL puede revelar técnicas de ofuscación que los sitios legítimos no utilizan.

  • Codificación porcentual, doble codificación y escapes Unicode para ocultar el destino
  • Dirección IP sin procesar en lugar de nombre de dominio
  • Puertos inusuales (por ejemplo :8080, :4443)
  • Extensiones de archivo peligrosas o engañosas (.exe, .ps1, .iso, .html.zip)
  • Rutas o cadenas de consulta inusualmente largas con parámetros de datos personales

Patrones de dominio

El propio dominio — su estructura, antigüedad y TLD — a menudo señala intenciones antes de que se cargue ningún contenido.

  • Caracteres visualmente similares (а cirílica vs. a latina, cero vs. letra O)
  • Errores tipográficos a distancia de edición de marcas conocidas (paypa1.com, arnazon.com)
  • TLD de alto riesgo frecuentemente utilizados en campañas de phishing
  • Dominios registrados recientemente sin historial
  • Subdominios de alojamiento gratuito asociados al abuso de contenido de usuario

Suplantación de marca

Los atacantes frecuentemente integran nombres de marca en las URL para aparentar legitimidad sin poseer el dominio real de la marca.

  • Nombre de marca en el subdominio (paypal.atacante.com)
  • Nombre de marca integrado en una ruta larga (/secure/microsoft/login)
  • Dominio registrado con nombre de marca más sufijo de riesgo (amazon-support-verify.com)
  • Sustitución por homoglifos en la parte de marca del dominio
  • Variante por error tipográfico del dominio de la marca (microsft.com, gooogle.com)

Lenguaje de urgencia en mensajes

Los mensajes de phishing utilizan presión psicológica para desactivar el pensamiento cuidadoso. Determinados patrones de lenguaje se correlacionan fuertemente con contenido fraudulento.

  • Lenguaje de urgencia y plazos (actúe ahora, vence hoy, último aviso)
  • Amenazas falsas a cuentas (bloqueada, actividad sospechosa, restringida)
  • Frases de presión financiera (deuda, factura impagada, devolución de impuestos)
  • Patrones de estafa de entrega (paquete retenido, tasa de aduana, entrega fallida)
  • Solicitudes de información personal (verifique su identidad, confirme sus datos)

Seguridad del destino QR

Un código QR es simplemente un enlace en forma de imagen. Tras la decodificación del lado del cliente, la URL de destino se evalúa con los mismos grupos de señales que cualquier enlace introducido directamente.

  • Códigos QR que apuntan a URL acortadas o URL con cadenas de redirección
  • Códigos QR que integran dominios de suplantación de marca
  • Códigos QR con URL de destino codificadas u ofuscadas
  • Códigos QR que llevan a dominios con extensiones de archivo peligrosas
  • Códigos QR que pasan por servicios conocidos de registro de IP

Coincidencias con bases de amenazas

La infraestructura conocida asociada con phishing, rastreo y distribución de malware se compara con un conjunto de referencia mantenido.

  • Servicios conocidos de acortamiento de URL (más de 66 proveedores) que ocultan destinos
  • Registradores de IP y servicios de rastreo de clics para recopilar datos de visitantes
  • Plataformas de alojamiento gratuito frecuentemente utilizadas para páginas de phishing
  • Patrones de cadenas de redirección que atraviesan múltiples dominios intermedios
  • Parámetros de redirección abierta que permiten la sustitución arbitraria de destinos

Puntuación de riesgo

Las señales de todas las categorías aplicables se combinan en una única puntuación ponderada. La puntuación se asigna a uno de cuatro niveles de riesgo, cada uno con una etiqueta corta en lenguaje sencillo utilizada en toda la interfaz. Los pesos de puntuación no se publican — publicarlos permitiría a los atacantes calibrar la evasión de detección.

Riesgo bajoSeguroPuntuación 0 – 25

La evaluación de señales no encontró indicadores relevantes. Las características de la URL o el mensaje no coinciden con los patrones típicos de phishing o estafa.

Riesgo medioSospechosoPuntuación 26 – 55

Se encontraron una o más señales moderadas. La entrada coincide suficientemente con patrones de phishing como para recomendar precaución. El resultado incluye una explicación de qué señales contribuyeron.

Riesgo altoPeligrosoPuntuación 56 – 80

Se encontraron múltiples señales fuertes en más de una categoría. La entrada muestra indicios claros de phishing o estafa. No se recomienda interactuar sin verificación independiente.

Riesgo muy altoAmenazaPuntuación 81 – 100

Señales convergentes de múltiples categorías indican alta coincidencia con patrones conocidos de phishing. Probable intento de phishing, robo de credenciales o vector de distribución de malware.

Los rangos de puntuación reflejan la versión actual del motor y pueden cambiar ligeramente entre versiones a medida que se refinan las reglas de detección. Las etiquetas cortas (Seguro, Sospechoso, Peligroso, Amenaza) se mantienen estables entre versiones.

Sistema de explicaciones

Cada resultado por encima del nivel 'Riesgo bajo' incluye una explicación en lenguaje sencillo. El objetivo es que un usuario no técnico, al leer el resultado, entienda no solo el veredicto, sino también por qué se llegó a él y qué hacer a continuación.

Por qué fue marcado

Cada señal que contribuyó se enumera en lenguaje sencillo — sin jerga técnica, sin referencias a nombres internos de reglas. Por ejemplo: 'Este dominio es muy similar al dominio oficial de PayPal y podría intentar engañar a los usuarios' en lugar de 'typosquat detectado, DL=1'.

Clasificación de amenaza

Cuando las señales coinciden con una categoría de estafa conocida — estafa de entrega, suplantación de marca, robo de credenciales, organismo público falso — el resultado nombra la categoría. Esto da a los usuarios un modelo mental concreto del patrón de amenaza.

Daño potencial

La explicación indica qué daño podría derivarse de interactuar con el enlace o mensaje — robo de credenciales, fraude de pago, instalación de malware o recopilación de datos personales — basándose en las señales detectadas.

Acciones recomendadas

Cada nivel de riesgo corresponde a una recomendación concreta: ignorar y eliminar (Bajo), verificar de forma independiente (Medio), no interactuar (Alto / Muy alto). Las recomendaciones hacen referencia al dominio oficial de la marca suplantada cuando corresponde.

Privacidad y seguridad

La metodología se construye alrededor de una restricción estricta: el contenido que ingresa es confidencial, y el análisis no debe requerir que confíe a 2check.click esa información.

  • Sin registro ni cuenta

    El proceso completo de análisis es accesible sin crear una cuenta, sin dirección de correo electrónico y sin ningún otro registro.

  • Los datos ingresados no se almacenan como información personal

    Las URL, mensajes e imágenes de código QR que ingresa no se registran, no se guardan y no se asocian a ningún identificador. Cada verificación comienza y termina en su sesión de navegador.

  • El análisis se centra en metadatos y señales de seguridad

    El motor evalúa señales estructurales y basadas en patrones — forma del dominio, presencia de palabras clave, técnicas de codificación — sin contexto personal sobre quien verifica y sin el contenido de las páginas de destino.

  • Ningún enlace malicioso real en los ejemplos educativos

    Todos los nombres de dominio que se muestran en este sitio en ejemplos de phishing utilizan un marcador de posición ficticio seguro. La página 'Ejemplos de amenazas' nunca muestra URL maliciosas reales — solo los patrones que siguen.

Limitaciones conocidas

El análisis a nivel de URL tiene limitaciones estructurales que no pueden resolverse sin visitar el destino — lo que 2check.click nunca hace intencionadamente. Estas limitaciones están documentadas abiertamente.

  • El phishing solo a nivel de contenido puede ser más difícil de detectar

    Un sitio de phishing alojado en un dominio limpio sin referencias de marca o palabras clave sospechosas en la URL es invisible para el análisis estructural. El engaño reside completamente en lo que muestra la página — que 2check.click nunca carga intencionadamente.

  • Los dominios limpios registrados recientemente pueden tener pocas señales

    Un dominio completamente nuevo con un nombre neutro es indistinguible de un negocio legítimo nuevo a nivel de URL. Sin contenido de página ni historial de comportamiento, el análisis estructural tiene poco que evaluar.

  • La ingeniería social puede funcionar sin indicadores técnicos

    El phishing que utiliza un contexto de relación — un mensaje que parece proceder de un conocido con un enlace a un documento compartido — puede no contener ninguna señal de URL detectable. El engaño depende completamente de la confianza del destinatario en el supuesto remitente.

  • Las herramientas automáticas no reemplazan el juicio del usuario

    2check.click es una herramienta de apoyo para la verificación previa al clic. Un resultado 'Riesgo bajo' significa que no se encontraron indicadores relevantes — no que el enlace sea garantizadamente seguro. En caso de duda, acceda directamente al sitio web oficial de la organización sin usar el enlace proporcionado.

Más información

Cómo funciona

Descripción paso a paso del proceso de análisis, los niveles de riesgo y el modelo de privacidad.

Precisión de detección

Metodología de validación, tasas de detección actuales y una lista honesta de limitaciones conocidas.

Ejemplos de amenazas

Galería interactiva de patrones reales de phishing en 7 categorías.

Reportar un problema

¿Encontró un falso positivo o una amenaza no detectada? Los reportes van directamente al ajuste de reglas.

Preguntas frecuentes

¿Publica 2check.click la fórmula de puntuación?

No. Publicar los pesos de puntuación permitiría a los atacantes crear URL que queden justo por debajo de los umbrales de detección. En cambio, 2check.click publica las categorías de señales comprobadas y explicaciones en lenguaje sencillo de cada resultado — suficiente transparencia para generar confianza sin proporcionar a los atacantes una guía de calibración. Las tasas de detección y las limitaciones conocidas están documentadas en la página 'Precisión de detección'.

¿Por qué el resultado muestra un nivel de riesgo en lugar de simplemente 'sí' o 'no'?

El phishing no es binario. Muchas URL comparten características con el phishing sin ser definitivamente maliciosas, y las páginas de phishing confirmadas a menudo están alojadas en dominios limpios sin señales de URL. Un nivel de riesgo comunica simultáneamente confianza y gravedad, dando a los usuarios un mejor contexto para decidir que una etiqueta binaria 'seguro/inseguro'. Los cuatro niveles — Bajo, Medio, Alto, Muy alto — reflejan una fuerza de señal creciente.

¿Qué señales se usan para detectar phishing?

Se evalúan seis amplias categorías de señales: estructura de URL, patrones de dominio, suplantación de marca, lenguaje de urgencia en mensajes, seguridad del destino QR y coincidencias con bases de amenazas. Cada categoría se describe en detalle en la sección 'Señales que analizamos' más arriba.

¿Pueden los atacantes evadir las verificaciones automáticas?

Sí. Los atacantes pueden registrar dominios limpios sin referencias de marca en la URL, usar dominios recién registrados sin historial sospechoso y confiar completamente en contenido de página engañoso que solo el navegador ve al renderizar. Estas limitaciones estructurales están documentadas abiertamente en la página 'Precisión de detección'. Ser consciente de estas brechas hace que la herramienta sea honesta, no engañosa.

¿Por qué mostrar públicamente las limitaciones?

Porque una herramienta que exagera sus capacidades causa daño. Si los usuarios creen que un verificador de enlaces lo detecta todo, dejan de aplicar su propio juicio — exactamente cuando más importa. Documentar las brechas conocidas ayuda a los usuarios a calibrar cuánto confiar en un resultado y hace que la herramienta sea genuinamente útil incluso en los casos en que no puede dar una respuesta definitiva.

¿Preguntas sobre cómo se obtuvo un resultado específico? Reportar un problema o contáctenos.

¿Quiere ver la metodología en acción?

Verifique un enlace sospechoso →