¿Qué es un enlace de phishing?

Blog

Un enlace de phishing es una URL maliciosa diseñada para robar tus datos o instalar malware. Descubre cómo identificar los enlaces de phishing antes de hacer clic en ellos y qué hacer si ya lo has hecho.

por Milena Baghdasaryan

Última actualización:
Tiempo de lectura: 8 minutos
¿Qué es un enlace de phishing?
Índice-

Puntos clave

  • Los enlaces de phishing son el principal método que utilizan los atacantes para robar credenciales o instalar malware
  • La mayoría de los ataques de phishing se basan en la urgencia y la confianza para engañar a los usuarios y que hagan clic sin comprobarlo
  • Pequeños detalles en las URL, como errores ortográficos, dominios extraños o redireccionamientos ocultos, suelen delatar intenciones maliciosas
  • Un solo clic puede provocar el robo de credenciales, una infección por malware o el compromiso de una cuenta a largo plazo
  • Una autenticación sólida del correo electrónico, como DMARC, junto con la concienciación de los usuarios, constituyen la mejor defensa

Imagina que estás revisando tu bandeja de entrada un ajetreado martes por la mañana. Ves una notificación urgente de tu banco o un aviso de envío de un paquete que no recuerdas haber pedido. Ambos contienen un botón o una URL, y ambos están diseñados para provocar una sensación de pánico. Ese único enlace es el punto de inflexión más crítico en la ciberseguridad moderna. Este tipo de ataque, conocido a menudo como «phishing de URL», se basa en enlaces engañosos diseñados para parecer legítimos a primera vista.

Según la CISA, el phishing sigue siendo la forma más habitual de ciberataque, ya que representa más del el 90 % de todas las filtraciones de datos. Aunque las estafas en sí mismas son complejas, el «enlace de phishing» es el principal vehículo de distribución. Estas URL maliciosas llegan a través del correo electrónico, SMS (smishing), mensajes directos en redes sociales e incluso códigos QR impresos (quishing). Entender cómo funcionan estos enlaces marca la diferencia entre mantener tu vida digital segura y entregarle las llaves a un completo desconocido.

En esta guía, te explicaremos con detalle cómo detectar estos enlaces antes de hacer clic, qué ocurre si se te resbala el dedo y los pasos que debes seguir para recuperarte.

Un enlace de phishing es una URL maliciosa diseñada para parecer legítima, que se utiliza para engañar a los usuarios y que revelen sus credenciales o datos personales, o para provocar la descarga de malware. No se trata de un ataque en sí mismo, sino del medio de transmisión que conecta un mensaje engañoso con un destino malicioso. Al hacer clic, el usuario, sin saberlo, tiende un puente entre un entorno seguro y la infraestructura del atacante.

¿Cómo funciona un enlace de phishing?--

Un ataque de phishing no es solo un enlace cualquiera; se trata de un proceso psicológico y técnico minuciosamente planificado. A continuación se explica cómo se desarrolla este mecanismo desde la perspectiva del usuario:

1. La configuración

Un atacante crea un mensaje convincente, normalmente un correo electrónico o un SMS, que se hace pasar por una marca de confianza como Microsoft, Amazon o un banco local. El mensaje recurre a técnicas de «ingeniería social», como el miedo, la urgencia o la curiosidad, para incitar a realizar una acción.

2. El clic

El usuario hace clic en el enlace, confiando en el contexto del remitente. Por ejemplo, un enlace para «restablecer la contraseña» en un correo electrónico que tiene exactamente el mismo aspecto que una notificación estándar.

3. La carga útil

Se redirige al usuario a una página de destino falsa diseñada para recopilar datos de acceso, como nombres de usuario y contraseñas. En los casos más graves, el enlace activa una «descarga automática», en la que el malware se instala de forma silenciosa en segundo plano sin que el usuario tenga que hacer nada más.

4. La explotación

Una vez que se han obtenido los datos o se ha comprometido el dispositivo, el atacante aprovecha ese acceso para cometer fraudes financieros, robos de identidad o como punto de apoyo para lanzar un ataque de ransomware a mayor escala contra una red corporativa.

Los atacantes utilizan diversos métodos para camuflar las URL maliciosas, con el fin de eludir tanto la intuición humana como los filtros de seguridad básicos.

Estos se basan en pequeños errores ortográficos que el ojo humano suele pasar por alto al echar un vistazo rápido.

  • Ejemplo: amazon-secure.net o wellsfarg0.com en lugar de los dominios oficiales. Esto hace que, a simple vista, resulte difícil distinguir el sitio web legítimo del fraudulento.

Se trata de una técnica más sofisticada en la que los atacantes utilizan caracteres Unicode de diferentes alfabetos que parecen idénticos a las letras latinas.

  • Ejemplo: Una «а» cirílica puede sustituir a una «a» latina. Para un navegador, apple.com (con una «a» cirílica) es un destino completamente distinto al verdadero apple.com, aunque para el usuario ambos parezcan idénticos.

Enlaces acortados

Servicios como Bitly o TinyURL resultan útiles para las redes sociales, pero son un regalo para los phishers, ya que ocultan el verdadero destino tras una secuencia de caracteres aleatorios.

  • Ejemplo: un enlace como bit.ly/3xK7zY9 podría llevar a un documento legítimo o a un sitio web diseñado para robar credenciales; el usuario no tiene forma de saberlo hasta que la página se carga.

Los atacantes suelen aprovechar los «redireccionamientos abiertos» en sitios web legítimos y de gran confianza. Buscan un dominio de confianza que permita que un parámetro de URL redirija a los usuarios a otra parte.

  • Ejemplo: https://trusted-site.com/redirect?url=malicious-site.com. Como el enlace empieza con una marca en la que confías, los filtros de seguridad lo dejan pasar y los usuarios tienden a aceptarlo con mayor facilidad.

Cada vez es más frecuente que se incluyan direcciones URL maliciosas en los códigos QR para eludir la inspección visual tradicional. Dado que las personas no pueden «leer» el código, el enlace permanece oculto hasta que se escanea.

  • Ejemplo: una pegatina fraudulenta colocada sobre un código QR auténtico en un parquímetro, que redirige a pay-parking-portal.xyz en lugar de a la aplicación de pago oficial de la ciudad.

Con una popularidad en aumento durante 2025 y 2026, los atacantes envían ahora «imágenes» o «documentos» que, en realidad, son minipáginas web. Al abrirlos, estos archivos se ejecutan localmente en el navegador para eludir los escáneres de correo electrónico.

  • Ejemplo: un archivo adjunto llamado Invoice_99.svg. Al abrirlo, aparece un cuadro de inicio de sesión falso de Microsoft 365 que parece un mensaje del sistema, pero que en realidad es un script diseñado para robar tu contraseña.

Este vector aprovecha la función de «aceptación automática» que incorporan muchas aplicaciones de calendario. Los atacantes envían una invitación a una reunión que aparece automáticamente en tu agenda, a menudo acompañada de una notificación.

  • Ejemplo: un evento del calendario titulado «Urgente: revisión salarial de RR. HH.» que contiene un enlace del tipo company-hr-portal.web.app. Dado que la notificación procede de tu propia aplicación de calendario, transmite una sensación de legitimidad y urgencia que no tiene por sí misma.

Consejo: Pasa siempre el cursor por encima de un enlace (en el ordenador) o mantén pulsado (en el móvil) para ver la URL de destino real antes de hacer clic. Si el enlace te ha llegado a través de una invitación de calendario inesperada o de un archivo adjunto en formato HTML, trátalo con extrema precaución.

Las consecuencias de un clic pueden ser inmediatas o tardías, y no siempre son visibles.

  1. La redirección «fantasma»: para no levantar sospechas, muchos sitios de phishing te redirigen a la página web auténtica y legítima después de que hayas introducido tu contraseña. Podrías pensar que el inicio de sesión simplemente ha «fallado», mientras que el atacante ya tiene tus credenciales.
  2. Robo de credenciales: la mayoría de los enlaces conducen a una página de inicio de sesión falsa. Si introduces tus datos, el atacante tendrá acceso inmediato a tu cuenta.
  3. Instalación silenciosa de malware: al hacer clic se puede activar un script que instala spyware o ransomware. Esto suele ocurrir de forma «silenciosa», lo que significa que no aparecen ventanas emergentes ni mensajes que te avisen.
  4. Confirmación de que la cuenta está activa: aunque no introduzcas ningún dato, el simple hecho de hacer clic indica al atacante que tu dirección de correo electrónico está activa y que eres vulnerable a los enlaces.

No todas las consecuencias son visibles. Algunas cargas maliciosas se activan días después, o solo se hacen evidentes cuando las credenciales robadas se utilizan para apropiarse de cuentas o cometer fraudes.

Nota: Un error común es pensar que un sitio web es seguro si tiene el icono del «candado» o utiliza HTTPS. HTTPS no garantiza que un sitio web sea seguro; solo significa que la conexión está encriptada. Los atacantes suelen obtener certificados SSL gratuitos para que sus sitios web fraudulentos parezcan profesionales.

La prevención es la mejor defensa. Utiliza esta lista de verificación para analizar cualquier enlace que recibas:

  • Pasa el cursor por encima antes de hacer clic: en un ordenador, pasa el cursor por encima de un enlace (¡sin hacer clic!) para ver la URL de destino real en la esquina inferior del navegador. En el móvil, mantén pulsado el enlace para ver la vista previa.
  • Analiza el dominio: Busca dominios de nivel superior inusuales. Aunque confiamos en .com, .org o .gov, desconfía de .xyz, .top, .cc o .work en mensajes no solicitados.
  • Comprueba si hay subdominios que no coincidan: un enlace como apple.com.security-check.xyz no es un sitio web de Apple. El dominio real es siempre la parte situada inmediatamente a la izquierda del dominio de nivel superior (en este caso, security-check.xyz).
  • Analiza bien el contexto: ¿El enlace coincide con el remitente? Si «Netflix» te envía un enlace a un dominio como billing-update-now.com, se trata de una estafa.
  • Utiliza un verificador de enlaces: en caso de duda, haz clic con el botón derecho del ratón sobre el enlace, selecciona «Copiar dirección del enlace» y pégala en el verificador gratuito de URL de phishing de PowerDMARC para analizar al instante cualquier enlace sospechoso. Esta herramienta compara la URL con listas negras globales de sitios maliciosos conocidos.

No estoy seguro sobre un enlace-

Si ya has hecho clic, no te asustes. Una actuación rápida y serena puede evitar que un «clic» se convierta en un «problema de seguridad».

  1. Cierra la pestaña inmediatamente: si has llegado a una página, no hagas clic en nada más. No hagas clic en «cancelar suscripción» ni en «cancelar». Simplemente cierra la ventana.
  2. Desconéctate de Internet: si sospechas que se ha iniciado la descarga de un archivo, desactiva el wifi o desconecta el cable de Ethernet. De este modo, evitarás que el malware se comunique con el servidor de comando y control (C2) del atacante o que envíe tus datos.
  3. Cambia las contraseñas afectadas: si has introducido tus datos de acceso, ve al sitio web oficial (escribe la dirección manualmente) y cambia tu contraseña inmediatamente. Si utilizas esa misma contraseña en otros sitios, cámbiala también en ellos.
  4. Realiza un análisis completo: utiliza un programa antivirus o antimalware de confianza para analizar tu dispositivo en busca de posibles cargas maliciosas ocultas.
  5. Avisa a tu departamento de TI: si estás utilizando un dispositivo de la empresa, avisa a tu equipo de TI. Prefieren ayudarte a proteger un solo ordenador portátil antes que tener que lidiar con un ataque de ransomware que afecte a toda la empresa.
  6. Notificar el incidente: Utiliza el recurso «He hecho clic en un enlace de phishing» para conocer los pasos concretos que debes seguir en tu caso.
URL de ejemploTipoEl sorteoLo más destacado de un vistazo
https://secure-paypa1.com/loginDominio similarEl número «1» sustituye a la letra «l» en «paypal».Fíjate en los números que se utilizan en lugar de letras (el 1 por la «l» y el 0 por la «o»).
https://bit.ly/3xHj9k2Enlace acortadoEl destino está completamente oculto y podría llevar a cualquier parte.Si el nombre de dominio definitivo está oculto tras una secuencia de caracteres, no es fiable.
https://amazon.com.account-verify.xyz/Truco con subdominiosEl dominio real es account-verify.xyz, no Amazon.El dominio real es siempre la parte situada inmediatamente a la izquierda del dominio de nivel superior, por ejemplo, .xyz.
https://аpple.comAtaque de homógrafosUtiliza una «а» cirílica que es idéntica a la «a» latina.Ten cuidado con los enlaces de remitentes desconocidos, aunque parezcan perfectos.
[Código QR]QuishingSolo muestra la URL tras el escaneo; suele utilizar dominios de nivel superior sospechosos, como .top.Fíjate si hay pegatinas sospechosas colocadas sobre los códigos originales en los menús o los contadores.

¿Cómo es realmente un enlace de phishing?--

Para proteger de verdad una red corporativa o personal frente a los enlaces de phishing, se necesitan medidas técnicas automatizadas que bloqueen las URL maliciosas antes de que se pueda hacer clic en ellas.

1. Filtros antispam y antiphishing

Antes incluso de que un correo electrónico llegue a tu bandeja de entrada, los filtros antispam y antiphishing evalúan el mensaje. Estos filtros analizan la reputación del remitente, la estructura del correo electrónico y su contenido mediante el aprendizaje automático. Buscan indicadores conocidos de phishing, como un lenguaje que provoque una falsa sensación de urgencia, encabezados «De» que no coincidan y enlaces que apunten a sitios maliciosos conocidos, y desvían automáticamente los correos electrónicos sospechosos a la carpeta de spam o a la cuarentena.

2. Pasarelas de correo electrónico seguro (SEG)

Una pasarela de correo electrónico segura (SEG) actúa como un puesto de control fronterizo digital para todo el tráfico de correo electrónico entrante y saliente. Las SEG supervisan los correos electrónicos en busca de amenazas sofisticadas que los filtros estándar podrían pasar por alto. Descomprimen los archivos comprimidos, analizan los archivos adjuntos —como archivos HTML o SVG peligrosos— en un entorno aislado seguro y eliminan el contenido dañino antes de que llegue al usuario final.

3. Reescritura de URL y análisis en el momento del clic

Los atacantes suelen recurrir a un truco que consiste en enviar un enlace totalmente seguro para eludir los filtros iniciales del correo electrónico y, a continuación, redirigir ese enlace seguro a una página maliciosa una vez que el correo se ha entregado. Para contrarrestar esto, los sistemas de seguridad avanzados utilizan la reescritura de URL. La herramienta de seguridad modifica todos los enlaces entrantes para que se redirijan a través de un servidor proxy seguro. Cuando un usuario hace clic en el enlace, el sistema realiza un análisis en el momento del clic. Analiza la URL de destino en tiempo real justo en el momento del clic. Si el sitio se ha vuelto malicioso desde que llegó el correo electrónico, se bloquea al usuario y se le muestra una página de advertencia.

4. Filtrado de DNS

Si un usuario hace clic en un enlace de phishing a través de un canal no verificado, el filtrado de DNS actúa como una red de seguridad fundamental. Cada vez que un dispositivo intenta cargar un sitio web, debe consultar un servidor del Sistema de Nombres de Dominio (DNS) para encontrar la dirección IP del sitio. Un filtro de DNS compara estas solicitudes con una base de datos actualizada de dominios maliciosos. Si un usuario hace clic en un enlace que conduce a un sitio de phishing conocido, el filtro de DNS bloquea la resolución, impidiendo que la página web se cargue por completo.

Resumen

Los enlaces de phishing siguen siendo uno de los puntos de entrada más habituales para las filtraciones de datos, pero el riesgo es, en gran medida, controlable. Con la concienciación adecuada, un enfoque prudente y unos cuantos hábitos de seguridad constantes, puedes reducir considerablemente tu exposición al riesgo. Mantenerte alerta, verificar el contenido antes de hacer clic y seguir unas prácticas básicas de seguridad en el correo electrónico contribuyen en gran medida a protegerte no solo a ti mismo, sino también a todas las personas con las que te comunicas.

Preguntas frecuentes

¿Cómo puedo saber si un enlace es un enlace de phishing?

La forma más eficaz es pasar el cursor por encima del enlace para obtener una vista previa del destino. Fíjate si hay errores ortográficos, extensiones de dominio extrañas (como .cc o .xyz) o si no coinciden el supuesto remitente y la URL. En caso de duda, utiliza una herramienta para comprobar si un enlace es de phishing.

¿Los enlaces de phishing solo se envían por correo electrónico?

No. Los enlaces de phishing se envían con frecuencia a través de SMS (smishing), mensajes directos en redes sociales e incluso a través de anuncios en motores de búsqueda o códigos QR (quishing).

¿Pueden los enlaces HTTPS ser enlaces de phishing?

Sí. Los atacantes actuales utilizan HTTPS para crear una falsa sensación de seguridad. HTTPS solo garantiza que los datos que se envían entre tú y el sitio web estén cifrados; no verifica que el propietario del sitio web sea legítimo.

¿Cómo ayuda DMARC a combatir los enlaces de phishing?

Los enlaces de phishing suelen enviarse a través de dominios falsificados. DMARC evita que estos correos electrónicos falsificados lleguen a la bandeja de entrada, ya que verifica la identidad del remitente, neutralizando así de forma eficaz el sistema de entrega del enlace.

CTA

Últimos mensajes de Milena Baghdasaryan (ver todos)
Última actualización:
¿Es suficiente Windows Defender para la seguridad de las pequeñas empresas?¿Es suficiente Microsoft Defender para la seguridad de las pequeñas empresas?