Una URL no es una dirección, es un conjunto de instrucciones
La mayoría de los ataques de phishing comienzan con una sola acción: hacer clic en una URL fraudulenta. Que caigas o no en la trampa depende a menudo de si puedes distinguir un enlace legítimo de uno falso antes de hacer clic.
Una URL no es solo una cadena de caracteres; es una instrucción estructurada para tu navegador. Especifica qué protocolo usar, a qué servidor conectarse y qué recurso solicitar. Comprender esta estructura te da una ventaja poderosa para detectar sitios de phishing antes de que puedan causar daño.
Anatomía de una URL - Por qué leer el dominio correctamente lo es todo
La estructura básica de una URL es la siguiente:
https://sub.example.com:443/path/page?query=value#fragment
- Esquema (
https://): El protocolo de comunicación. HTTPS significa comunicación cifrada - Subdominio (
sub): Un nombre auxiliar antepuesto al dominio - Dominio (
example.com): El identificador central que determina a qué servidor te conectas - Puerto (
:443): Normalmente se omite (HTTPS usa 443 por defecto, HTTP usa 80) - Ruta (
/path/page): La ubicación de un recurso específico en el servidor - Consulta (
?query=value): Parámetros enviados al servidor - Fragmento (
#fragment): Una posición específica dentro de la página
La habilidad más importante para detectar URLs de phishing es leer el dominio correctamente. Los dominios se leen de derecha a izquierda. En example.com, primero identificas .com (el dominio de nivel superior) y luego example (el dominio de segundo nivel). Este hábito de lectura de derecha a izquierda es la clave para derrotar los trucos de los atacantes.
Suplantación de subdominio - El truco más común
La técnica que los atacantes usan con más frecuencia es incrustar un nombre de dominio legítimo como subdominio de un dominio malicioso.
amazon.co.jp.evil-site.com- destino real:evil-site.comlogin.google.com.attacker.net- destino real:attacker.netwww.paypal.com.secure-login.xyz- destino real:secure-login.xyz
Si lees los dominios de derecha a izquierda, estos trucos se vuelven inmediatamente obvios. Tomemos amazon.co.jp.evil-site.com: leyendo desde la derecha, el TLD es .com y el dominio de segundo nivel es evil-site. La parte amazon.co.jp es simplemente un subdominio y no tiene relación con el lugar al que realmente te conectas.
La prueba rápida
Comprueba si una barra diagonal (/) sigue inmediatamente al dominio legítimo. amazon.co.jp/ es genuino, pero amazon.co.jp. seguido de más componentes de dominio indica suplantación de subdominio.
Ataques homógrafos - Visualmente idénticos, completamente diferentes
Los ataques homógrafos explotan caracteres de diferentes alfabetos que se ven idénticos o casi idénticos para falsificar nombres de dominio. Abusan del sistema de Nombres de Dominio Internacionalizados (IDN).
| Legítimo | Falsificado | Carácter utilizado |
|---|---|---|
| apple.com | аpple.com | La "а" inicial es cirílica (U+0430) |
| google.com | ɡoogle.com | La "ɡ" inicial es Latin Small Letter Script G (U+0261) |
| paypal.com | pаypal.com | El segundo carácter "а" es cirílico |
Estos son prácticamente imposibles de distinguir a simple vista. Los navegadores modernos (Chrome, Firefox, Safari) contrarrestan esto mostrando los dominios que mezclan múltiples alfabetos en Punycode, una representación ASCII que comienza con xn--. Si ves xn-- en tu barra de direcciones, trátalo como un posible ataque homógrafo.
URLs acortadas y riesgos de los códigos QR
URLs acortadas
Los servicios de acortamiento de URLs como bit.ly, t.co y tinyurl.com ocultan el destino real. Un enlace como bit.ly/3xYz123 podría apuntar a un sitio legítimo o a una página de phishing; no puedes saberlo hasta que haces clic.
Para mitigar esto, usa servicios de expansión de URLs (CheckShortURL, Unshorten.It) para previsualizar el destino real antes de hacer clic. Muchos servicios de acortamiento también admiten un modo de vista previa añadiendo + a la URL (por ejemplo, bit.ly/3xYz123+).
Códigos QR
Los códigos QR conllevan el mismo riesgo que las URLs acortadas: no puedes ver el destino hasta que los escaneas. El "QR code jacking", donde un atacante pega un código QR malicioso sobre uno legítimo en un espacio público, ha sido documentado en la práctica.
Los lectores de códigos QR de los smartphones normalmente muestran una vista previa de la URL antes de abrirla en el navegador. Acostúmbrate a inspeccionar la URL antes de continuar.
Lista de verificación práctica de seguridad
Cuando recibas un enlace sospechoso, sigue estos pasos antes de hacer clic.
- Pasa el cursor antes de hacer clic: En escritorio, coloca el ratón sobre el enlace sin hacer clic. La URL real aparece en la esquina inferior izquierda del navegador
- Lee el dominio de derecha a izquierda: Identifica primero el TLD y luego el dominio de segundo nivel. Confirma que coincide con el sitio legítimo
- Verifica HTTPS: Comprueba que el enlace usa HTTPS. Sin embargo, HTTPS solo significa que la conexión está cifrada; no garantiza que el sitio sea legítimo. Los sitios de phishing obtienen rutinariamente certificados SSL gratuitos de Let's Encrypt
- Expande las URLs acortadas: Usa un servicio de expansión para revelar el destino real antes de visitarlo
- Navega directamente: En lugar de hacer clic en enlaces de correos o mensajes, escribe la URL conocida directamente en la barra de direcciones de tu navegador o usa un marcador. Este es el método más fiable
Este es también un principio fundamental de las compras en línea seguras: cuanto más urgentemente te presiona un mensaje para actuar, más cuidadosamente debes examinarlo. "Tu cuenta será suspendida", "Responde en 24 horas": estas tácticas de urgencia son señales distintivas del phishing.
También puedes verificar la seguridad de tu conexión actual y comprobar si tu dirección IP está expuesta visitando IP確認さん, que proporciona una puntuación de seguridad instantánea junto con pruebas de filtración DNS y análisis de huella digital del navegador.
Para un enfoque sistemático de la defensa contra el phishing, los libros de ciberseguridad ofrecen una cobertura completa.