5 formas de identificar un sitio web de phishing
Publicado el: 2 Jul 2018
Última modificación: 8 Sep 2025
Es importante saber cómo identificar un sitio web de phishing para evitar ser víctima de estafas que pueden provocar pérdidas financieras, robo de identidad u otras formas de ciberdelincuencia. Los ataques de phishing siguen siendo una de las formas más exitosas y eficaces que tienen los ciberdelincuentes de lanzar ciberataques que nos estafan y roban nuestra información personal, incluidas contraseñas, credenciales y datos financieros.
Nuestra creciente dependencia de Internet para realizar gran parte de nuestras operaciones cotidianas ha proporcionado a los estafadores el entorno perfecto para lanzar ataques de phishing selectivos.
Los correos electrónicos de phishing son una forma sofisticada de ciberataque cada vez más difícil de detectar. Un estudio realizado por Intel reveló que el 97% de las personas no log ran identificar los correos electrónicos de phishing de los auténticos en su bandeja de entrada.
Pero no son sólo los correos electrónicos de phishing los que se utilizan para engañar a los destinatarios para que hagan clic en enlaces, descarguen malware o divulguen información confidencial. Otra táctica común utilizada por los ciberdelincuentes consiste en la creación de sitios web de phishing comprometidos para engañar a las víctimas para que introduzcan información sensible.
Las estafas de phishing suelen incluir sitios web falsos para engañar a los usuarios desprevenidos y hacerles creer que están en un sitio legítimo y comprometer su seguridad. Los estafadores dedicarán mucho tiempo a hacer que el sitio parezca lo más creíble posible y muchos sitios parecerán casi indistinguibles del auténtico.
Consejos para identificar un sitio web de phishing
Para determinar si el sitio en el que se encuentra es legítimo o una falsificación bien elaborada, debe seguir los siguientes pasos:
1. Compruebe la URL
El primer paso para identificar un ataque de phishing es pasar el ratón por encima de la URL y comprobar la validez del nombre del dominio.
Debe buscar el icono de un candado en la barra de direcciones y comprobar que la URL comienza por ‘https://’ o ‘shttp://’. La ‘S’ indica que la dirección web ha sido cifrada y protegida con un certificado SSL. Sin HTTPS, cualquier dato transmitido en el sitio es inseguro y podría ser interceptado por terceros ciberdelincuentes.
Sin embargo, este sistema no es totalmente infalible y, en el último año, se ha producido un notable aumento del número de sitios de phishing que utilizan certificados SSL. Se recomienda a los usuarios que extremen las precauciones y busquen más pruebas de que el sitio es seguro.
También debe prestar mucha atención a la ortografía de una dirección web. Para engañar a los usuarios haciéndoles creer que se encuentran en un sitio oficial, los estafadores se ceñirán lo más posible a la dirección real y realizarán pequeños cambios en la ortografía. Una dirección web que termine en .co.uk podría cambiarse por .org, o la letra O podría sustituirse por el número 0. Ej: www.yah00.org. La dirección web también puede contener caracteres y símbolos extra que las direcciones oficiales no contienen.
2. Evaluar el contenido de un sitio
Un sitio web oficial requiere mucho trabajo y reflexión. Los gráficos serán nítidos, la ortografía y la gramática estarán en su punto, y toda la experiencia se sentirá pulida. Si se encuentra en un sitio web de phishing, a pesar de la similitud de la marca, toda la experiencia le parecerá deficiente y puede indicar que se ha desviado hacia un sitio de phishing.
Las simples faltas de ortografía, el inglés entrecortado, los errores gramaticales o las imágenes de baja resolución deben actuar como una señal de alarma de que se encuentra en un sitio de phishing y debe abandonarlo inmediatamente.
Otra área del sitio web que puede indicar un ataque de phishing es la falta de una sección de «contacto». Los sitios web oficiales suelen tener una página dedicada a proporcionar todos los datos de contacto de su empresa. Esto incluiría, dirección postal, número de teléfono, dirección de correo electrónico y canales de medios sociales. Si no se proporciona ninguno de estos detalles, es un indicio de que se trata de un sitio de phishing.
3. Compruebe quién es el propietario del sitio web
Todos los dominios tendrán que registrar su dirección web, por lo que merece la pena hacer una búsqueda WHOIS para ver quién es el propietario del sitio web. Se trata de un servicio gratuito que le permitirá comprobar quién es el propietario del sitio web en el momento de su creación y le proporcionará los datos de contacto del propietario del sitio.
Debe levantar sospechas si el sitio web lleva activo menos de un año o si cree que está en el sitio web de una marca líder, pero la dirección web está registrada a nombre de una persona de otro país. Si este es el caso, lo más probable es que se trate de un ataque de phishing.
4. Lea las reseñas en línea
Siempre merece la pena investigar un poco sobre una empresa para comprobar si tiene buena reputación y es quien dice ser. Es muy probable que si un sitio ha estafado a personas en el pasado, las víctimas se conecten a Internet para compartir su experiencia y advertir a otros usuarios para que eviten el sitio de phishing. Si hay muchas reseñas negativas de clientes, es un buen indicio de que se trata de un ataque de phishing.
5. Métodos de pago de confianza
Los sitios web legítimos siempre aceptarán tarjetas de crédito como método de pago o pueden utilizar un portal como PayPal para las transacciones en línea. Si la única opción de pago ofrecida en un sitio web es a través de una transferencia bancaria, entonces deberían saltar las alarmas. Los sitios con buena reputación nunca pedirán a los consumidores que paguen con este método. Esto indica que ningún banco ha proporcionado facilidades de tarjeta de crédito para el sitio web y lo más probable es que esté tratando con un estafador.
Artículos relacionados:
Qué hacer si hace clic en un enlace de phishing
Principales tendencias emergentes en ciberseguridad
[faq_posts]