¿Cómo saber si un enlace es phishing?
Un enlace puede llevarte a una copia idéntica de la web de tu banco creada para robar tus claves. La buena noticia: la dirección misma deja pistas. Aprende a leerla en 10 segundos, sin necesidad de abrirla.
Por Equipo Midinerope · · 5 minutos de lectura
Dónde mirar: el dominio real
Toda dirección web tiene una parte que de verdad manda: el dominio. Es lo último que aparece antes de la primera barra (/), pegado a su terminación (.com, .pe, .gob.pe…). Todo lo demás —lo que va antes con puntos— son subdominios que cualquiera puede inventar.
Mira este ejemplo de phishing:
https://viabcp.com.verificar-seguro.xyz/login
A primera vista “dice BCP”. Pero el dominio real es verificar-seguro.xyz — el viabcp.com es solo un subdominio decorativo para engañarte. El dominio oficial sería viabcp.com a secas. Lee siempre de derecha a izquierda hasta la terminación: ahí está la verdad.
https y el candado solo significan “conexión cifrada”, no “sitio confiable”. Los estafadores también usan https.6 señales de un enlace de riesgo
Ninguna es prueba absoluta por sí sola, pero juntas inclinan la balanza.
Suplanta a una marca
El nombre de un banco aparece, pero el dominio real no es el oficial: viabcp-seguro.xyz en vez de viabcp.com.
Acortador
bit.ly, cutt.ly, tinyurl… esconden el destino real. Los bancos no los usan para operaciones.
Terminación rara
.xyz, .top, .click, .online y similares son baratas y muy usadas en phishing. Suma sospecha.
Números en vez de nombre
Una dirección IP (como http://190.12.x.x/banco) en lugar de un dominio es señal fuerte de sitio improvisado.
Muchos guiones o subdominios
“banco-seguro-pe-verificacion.com” o cadenas largas con varios puntos buscan esconder el dominio real.
Sin cifrado (http)
Una dirección que empieza en http:// (sin la s) no cifra la conexión. Ninguna entidad financiera seria opera así.
Cómo verificar un enlace sin abrirlo
- En el celular: mantén presionado el enlace (sin soltar) para ver la dirección completa en la vista previa, sin abrirla.
- En la computadora: posa el cursor encima del enlace y lee la dirección real que aparece abajo, en la esquina del navegador.
- Copia y analiza: copia el enlace sin abrirlo y pégalo en una herramienta que revise sus señales de riesgo localmente.
- La regla de oro: nunca inicies sesión a través de un enlace recibido (ver por qué, más abajo).
Los trucos para disfrazar un enlace
Conocer las técnicas más comunes te ayuda a no caer cuando el enlace “casi” se ve bien:
- Typosquatting (un error de tipeo a propósito). Dominios casi idénticos al real:
viabpc.com,interbanck.pe,paypa1.com(con un “1” en vez de la “l”). De reojo parecen el original. - Letras que se hacen pasar por otras (homoglyphs). Caracteres de otros alfabetos que se ven igual que los nuestros, o un dominio que empieza con
xn--(punycode). El nombre “parece” correcto, pero es otro. - El nombre del banco como subdominio.
bcp.seguro-verificacion.xyz: el “bcp” es decorativo; el dominio real esseguro-verificacion.xyz. - El nombre del banco en la ruta.
sitio-raro.xyz/viabcp.com/login: todo lo que va después de la primera barra es relleno; el dominio sigue siendositio-raro.xyz. - El truco del arroba (@). En
https://viabcp.com@sitio-falso.xyz, el navegador ignora lo que está antes del @ y te lleva asitio-falso.xyz. - Acortadores y redirecciones. Un bit.ly puede llevar primero a una página inocente y redirigir luego a la falsa. Si no ves el destino, desconfía.
Dos mitos que conviene enterrar
- “Si se ve igual que mi banco, es mi banco.” No: copiar el diseño de una web toma minutos. Lo que no pueden copiar es el dominio oficial.
- “Vino del número o correo de mi banco.” No: remitentes y números se falsifican. Juzga el enlace, no quién lo manda.
Caso especial: los códigos QR (QRishing)
Un código QR es, simplemente, un enlace que no puedes leer a simple vista. Por eso los estafadores pegan QR falsos encima de los reales en recibos, agencias y carteles, o los mandan por mensaje. La defensa es la misma que con cualquier enlace: cuando escaneas un QR, tu teléfono te muestra la dirección antes de abrirla — léela y aplícale las mismas señales. Y antes de pagar, confirma siempre el nombre del destinatario que aparece en tu app, no el que figura en el cartel o la pantalla del otro.
La regla que resume todo
Si tuvieras que quedarte con una sola idea, que sea esta: nunca llegues a un sitio donde vas a poner tu clave a través de un enlace que te llegó. Para tu banco, tus correos o tus redes, escribe tú la dirección oficial o usa la app que ya tienes instalada. Un enlace recibido sirve para leer una noticia, no para iniciar sesión. Esa única costumbre desactiva la enorme mayoría del phishing, por bien disfrazado que venga el enlace.
Verifica un enlace antes de abrirlo
Pega la dirección (sin necesidad de abrirla) y revisa las señales de riesgo. Trabaja 100% en tu dispositivo: no visitamos el enlace ni lo enviamos a ningún servidor.
¿El enlace llegó en un mensaje? Aprende a detectar un SMS falso del banco. ¿Buscas otras modalidades, como el QRishing? Revisa el catálogo de modalidades de fraude. Para el panorama completo, lee cómo protegerte de estafas.