Fraude digital

¿Cómo saber si un enlace es phishing?

Un enlace puede llevarte a una copia idéntica de la web de tu banco creada para robar tus claves. La buena noticia: la dirección misma deja pistas. Aprende a leerla en 10 segundos, sin necesidad de abrirla.

Por Equipo Midinerope · · 5 minutos de lectura

Lo más importante

Dónde mirar: el dominio real

Toda dirección web tiene una parte que de verdad manda: el dominio. Es lo último que aparece antes de la primera barra (/), pegado a su terminación (.com, .pe, .gob.pe…). Todo lo demás —lo que va antes con puntos— son subdominios que cualquiera puede inventar.

Mira este ejemplo de phishing:

https://viabcp.com.verificar-seguro.xyz/login

A primera vista “dice BCP”. Pero el dominio real es verificar-seguro.xyz — el viabcp.com es solo un subdominio decorativo para engañarte. El dominio oficial sería viabcp.com a secas. Lee siempre de derecha a izquierda hasta la terminación: ahí está la verdad.

🔒 El candado no certifica nada. El https y el candado solo significan “conexión cifrada”, no “sitio confiable”. Los estafadores también usan https.
Las pistas

6 señales de un enlace de riesgo

Ninguna es prueba absoluta por sí sola, pero juntas inclinan la balanza.

1

Suplanta a una marca

El nombre de un banco aparece, pero el dominio real no es el oficial: viabcp-seguro.xyz en vez de viabcp.com.

2

Acortador

bit.ly, cutt.ly, tinyurl… esconden el destino real. Los bancos no los usan para operaciones.

3

Terminación rara

.xyz, .top, .click, .online y similares son baratas y muy usadas en phishing. Suma sospecha.

4

Números en vez de nombre

Una dirección IP (como http://190.12.x.x/banco) en lugar de un dominio es señal fuerte de sitio improvisado.

5

Muchos guiones o subdominios

“banco-seguro-pe-verificacion.com” o cadenas largas con varios puntos buscan esconder el dominio real.

6

Sin cifrado (http)

Una dirección que empieza en http:// (sin la s) no cifra la conexión. Ninguna entidad financiera seria opera así.

Sin riesgo

Cómo verificar un enlace sin abrirlo

  • En el celular: mantén presionado el enlace (sin soltar) para ver la dirección completa en la vista previa, sin abrirla.
  • En la computadora: posa el cursor encima del enlace y lee la dirección real que aparece abajo, en la esquina del navegador.
  • Copia y analiza: copia el enlace sin abrirlo y pégalo en una herramienta que revise sus señales de riesgo localmente.
  • La regla de oro: nunca inicies sesión a través de un enlace recibido (ver por qué, más abajo).
Cómo te engañan

Los trucos para disfrazar un enlace

Conocer las técnicas más comunes te ayuda a no caer cuando el enlace “casi” se ve bien:

  • Typosquatting (un error de tipeo a propósito). Dominios casi idénticos al real: viabpc.com, interbanck.pe, paypa1.com (con un “1” en vez de la “l”). De reojo parecen el original.
  • Letras que se hacen pasar por otras (homoglyphs). Caracteres de otros alfabetos que se ven igual que los nuestros, o un dominio que empieza con xn-- (punycode). El nombre “parece” correcto, pero es otro.
  • El nombre del banco como subdominio. bcp.seguro-verificacion.xyz: el “bcp” es decorativo; el dominio real es seguro-verificacion.xyz.
  • El nombre del banco en la ruta. sitio-raro.xyz/viabcp.com/login: todo lo que va después de la primera barra es relleno; el dominio sigue siendo sitio-raro.xyz.
  • El truco del arroba (@). En https://viabcp.com@sitio-falso.xyz, el navegador ignora lo que está antes del @ y te lleva a sitio-falso.xyz.
  • Acortadores y redirecciones. Un bit.ly puede llevar primero a una página inocente y redirigir luego a la falsa. Si no ves el destino, desconfía.

Dos mitos que conviene enterrar

  • “Si se ve igual que mi banco, es mi banco.” No: copiar el diseño de una web toma minutos. Lo que no pueden copiar es el dominio oficial.
  • “Vino del número o correo de mi banco.” No: remitentes y números se falsifican. Juzga el enlace, no quién lo manda.

Caso especial: los códigos QR (QRishing)

Un código QR es, simplemente, un enlace que no puedes leer a simple vista. Por eso los estafadores pegan QR falsos encima de los reales en recibos, agencias y carteles, o los mandan por mensaje. La defensa es la misma que con cualquier enlace: cuando escaneas un QR, tu teléfono te muestra la dirección antes de abrirla — léela y aplícale las mismas señales. Y antes de pagar, confirma siempre el nombre del destinatario que aparece en tu app, no el que figura en el cartel o la pantalla del otro.

La regla que resume todo

Si tuvieras que quedarte con una sola idea, que sea esta: nunca llegues a un sitio donde vas a poner tu clave a través de un enlace que te llegó. Para tu banco, tus correos o tus redes, escribe tú la dirección oficial o usa la app que ya tienes instalada. Un enlace recibido sirve para leer una noticia, no para iniciar sesión. Esa única costumbre desactiva la enorme mayoría del phishing, por bien disfrazado que venga el enlace.

Pasa de saber a actuar

Verifica un enlace antes de abrirlo

Pega la dirección (sin necesidad de abrirla) y revisa las señales de riesgo. Trabaja 100% en tu dispositivo: no visitamos el enlace ni lo enviamos a ningún servidor.

¿El enlace llegó en un mensaje? Aprende a detectar un SMS falso del banco. ¿Buscas otras modalidades, como el QRishing? Revisa el catálogo de modalidades de fraude. Para el panorama completo, lee cómo protegerte de estafas.

Preguntas frecuentes

Dudas rápidas

¿Cuál es el dominio real de un enlace?
El dominio real es lo último antes de la primera barra (/), justo antes de la terminación. En “viabcp.com.verificar.xyz/login”, el dominio real es “verificar.xyz”, no “viabcp”. Los estafadores ponen el nombre del banco al inicio o en subdominios para confundir; lo que importa es la parte final.
Si un enlace tiene candado (https), ¿es seguro?
No. El candado (https) solo significa que la conexión está cifrada, no que el sitio sea confiable. Los estafadores también usan https. Un sitio de phishing puede tener candado y aun así robar tus datos.
¿Por qué son peligrosos los enlaces acortados?
Un acortador (bit.ly, cutt.ly, tinyurl) esconde el destino real del enlace, así que no puedes saber a dónde te lleva hasta abrirlo. Las entidades financieras serias no usan acortadores para operaciones; trátalos con desconfianza.
¿Cómo veo a dónde lleva un enlace sin abrirlo?
En el celular, mantén presionado el enlace para ver la dirección completa en la vista previa; en computadora, posa el cursor encima y mírala abajo del navegador. También puedes copiar el enlace (sin abrirlo) y pegarlo en una herramienta que analice sus señales de riesgo localmente.
¿Qué hago si ya abrí un enlace de phishing?
Si solo lo abriste, ciérralo y no ingreses datos. Si escribiste tu clave o un código, llama de inmediato a tu banco por el número oficial para bloquear y cambiar claves, y revisa tus movimientos. Nunca llegues a tu banco por un enlace recibido: escribe tú la dirección.