Cómo saber si un enlace es seguro antes de abrirlo

Cómo saber si un enlace es seguro antes de abrirlo

Cómo saber si un enlace es seguro antes de abrirlo

Cómo saber si un enlace es seguro antes de abrirlo

Cómo saber si un enlace es seguro antes de abrirlo

Ningún truco mágico te garantiza al 100% que un enlace sea seguro, pero hay señales claras que delatan un fraude antes de hacer clic. Desconfía de la urgencia, los premios y los dominios raros; previsualiza el destino real manteniendo pulsado el enlace, y analízalo en VirusTotal o Google Safe Browsing. Nunca introduzcas tus datos sin comprobarlo primero.

Por qué un enlace puede ser peligroso

Un enlace no es solo texto: es la puerta de entrada al phishing, a webs que roban contraseñas y a páginas que descargan malware sin que te des cuenta. El atacante no necesita «hackearte»; le basta con que tú hagas clic y escribas tus datos en una copia falsa de tu banco, de PayPal o de una red social.

Por eso el reflejo correcto no es «¿este enlace funciona?», sino «¿quién está al otro lado y qué quiere de mí?». A continuación tienes las señales de alarma y, después, cómo comprobar un enlace antes de abrirlo.

Señales de alarma de un enlace peligroso

Estas son las trampas más habituales. Las desmonto una a una para que las reconozcas a simple vista.

  • Dominios falsos y typosquatting. Cambian una letra de una marca conocida: paypa1.com, arnazon.es, bancosantand3r.com. A primera vista parecen legítimos; léelos despacio.
  • Subdominios engañosos. Lo que manda es la parte final antes del primer /. En paypal.seguro-login.com, el dominio real es seguro-login.com, no PayPal. La marca colocada delante es solo decoración para confiarte.
  • Acortadores que ocultan el destino. Un bit.ly/xxxx o un acortado.es no te dice adónde vas. No son malos en sí, pero esconden la dirección real, así que en un mensaje sospechoso son una bandera roja.
  • Urgencia, premios y amenazas. «Tu cuenta será bloqueada en 24 h», «has ganado un iPhone», «paquete retenido, paga la aduana». El objetivo es que actúes con miedo o prisa, sin pensar.
  • El candado (https) no garantiza nada. Hoy casi cualquier web, incluidas las fraudulentas, tiene el candado y https. Significa que la conexión va cifrada, no que la página sea legítima. No bajes la guardia por ver un candado.

Si un mensaje combina varias de estas señales, trátalo como una estafa hasta que demuestres lo contrario.

Tabla rápida: señal, qué significa y qué hacer

Señal de alarma Qué significa Qué hacer
Dominio con letras cambiadas (arnazon.es) Suplantación de marca (typosquatting) No abras; entra escribiendo tú la web oficial
Marca delante de otro dominio (bbva.acceso-web.com) Subdominio engañoso, el dominio real es otro Lee la parte final antes del /; descártalo
Enlace acortado en un mensaje no esperado Oculta el destino real Expándelo antes de abrir o no lo abras
«Urgente», «premio», «multa», «verifica ya» Ingeniería social para meterte prisa Para, no hagas clic, contrasta por canal oficial
Candado/https pero la web pide tus claves El cifrado no acredita legitimidad No introduzcas tus datos; comprueba el dominio

Cómo comprobar un enlace antes de abrirlo

Esta es la parte importante: cómo verificarlo sin llegar a entrar en la página.

1. Ver el destino real (previsualizar)

  • En Android: mantén pulsado el enlace (sin soltar) hasta que aparezca un menú con la URL completa o la opción «Copiar enlace». Léela entera y fíjate en el dominio real.
  • En iPhone: mantén pulsado el enlace y espera a que se abra la vista previa con la dirección arriba. Suelta sin tocar «Abrir». Si solo quieres el texto, elige «Copiar».
  • En un ordenador, pasa el ratón por encima del enlace (sin clicar) y mira la URL que aparece abajo a la izquierda del navegador.

2. Expandir un acortador

Si el enlace es un acortador, no lo abras directamente. Cópialo y pégalo en un expansor o, mejor, en un analizador oficial como VirusTotal, que ya te muestra el destino final y su reputación sin que tú visites la web.

3. Analizarlo en una herramienta oficial

Copia el enlace (mantén pulsado y «Copiar», como en el paso 1) y pégalo en uno de estos analizadores gratuitos:

  • VirusTotal — pestaña «URL». Lo revisa con más de 90 motores antivirus y de reputación y te dice si está reportado por phishing o malware. INCIBE lo recomienda en su web.
  • Google Safe Browsing Site Status — pega la dirección y Google te indica si actualmente considera ese sitio peligroso.
  • URLVoid — comprueba el dominio contra más de 30 listas de bloqueo y servicios de reputación.

4. Comprobar el dominio

Si todo lo demás te convence, da el último paso: en vez de abrir el enlace, escribe tú mismo la dirección oficial de la entidad (tu banco, la tienda, la red social) en el navegador o entra desde su app. Así llegas al sitio real aunque el enlace fuera una copia.

Herramientas gratuitas de un vistazo

Herramienta Para qué sirve Gratis
VirusTotal Analiza la URL con 90+ motores y revela el destino de acortadores
Google Safe Browsing Site Status Dice si Google marca el sitio como peligroso ahora mismo
URLVoid Reputación del dominio en 30+ listas de bloqueo

Qué hacer si ya hiciste clic o metiste tus datos

Si abriste el enlace pero no escribiste nada, normalmente basta con cerrar la pestaña y no tocar nada de la página. Si además introdujiste tus datos, actúa cuanto antes y por este orden:

  1. Cambia la contraseña de la cuenta afectada y de cualquier otra donde uses la misma. Hazlo desde la web o app oficial, nunca desde el enlace del mensaje.
  2. Activa la verificación en dos pasos (2FA) en esa cuenta y en tu correo. Aunque tengan tu clave, no podrán entrar sin el segundo código.
  3. Avisa a tu banco si diste datos bancarios o de tarjeta. Pide que bloqueen la tarjeta o vigilen movimientos.
  4. Denúncialo. En España puedes contactar con la línea 017 de INCIBE (gratuita y confidencial) y usar su formulario de Reporte de fraude en incibe.es. Si hubo pérdida económica, presenta denuncia ante la Policía o Guardia Civil.
  5. Revisa tus dispositivos con un antivirus si sospechas que se descargó algo.

No te quedes en blanco por vergüenza: cuanto antes reacciones, menos daño.

Sigue protegiéndote

Preguntas frecuentes

¿El candado (https) significa que un enlace es seguro?

No. El candado solo indica que la conexión está cifrada, no que la web sea legítima. Hoy muchas páginas de phishing también tienen https. Comprueba siempre el dominio y, si dudas, analízalo en VirusTotal antes de introducir tus datos.

¿Cómo veo adónde lleva un enlace sin abrirlo en el móvil?

Mantén pulsado el enlace sin soltar. En Android aparece un menú con la URL completa o «Copiar enlace»; en iPhone se abre una vista previa con la dirección. Lee el dominio real (la parte antes del primer /) y, si no te convence, no lo abras.

¿Es fiable VirusTotal para comprobar un enlace?

Sí, es una herramienta gratuita muy usada que analiza la URL con más de 90 motores antivirus y de reputación. La propia INCIBE la recomienda. Te dice si el enlace está reportado por phishing o malware, aunque ninguna herramienta detecta el 100% de las amenazas nuevas.

Hice clic en un enlace de phishing y metí mis datos, ¿qué hago?

Cambia de inmediato la contraseña afectada desde la web oficial, activa la verificación en dos pasos, avisa a tu banco si diste datos de pago y denúncialo en la línea 017 de INCIBE. Cuanto antes actúes, menos consecuencias tendrá.

¿Los enlaces acortados (bit.ly) son siempre peligrosos?

No siempre, pero ocultan el destino real, así que en mensajes que no esperabas son una señal de alarma. Antes de abrirlos, pégalos en VirusTotal o Google Safe Browsing para ver adónde llevan y si están reportados.

Fuentes

  • INCIBE — Tu Ayuda en Ciberseguridad (línea 017) y Reporte de fraude: incibe.es
  • OSI — Oficina de Seguridad del Internauta: osi.es
  • Google Safe Browsing Site Status: transparencyreport.google.com/safe-browsing
  • VirusTotal: virustotal.com

Déjanos un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu valoración: ¿Qué te ha parecido el artículo?