Cómo detectar si una web es falsa

Internet está lleno de trampas bien disfrazadas, y cada día es más difícil distinguir una página legítima de una diseñada para robar tus datos. Este artículo te enseña a afinar el instinto: pequeños detalles, patrones sospechosos y señales que suelen pasar desapercibidas, pero que marcan la diferencia entre navegar seguro o caer en un engaño. ¡Así sabrás detectar una web falsa a la legua!

Análisis técnico del dominio y DNS

El primer paso técnico consiste en investigar el dominio y su infraestructura DNS. Los atacantes suelen registrar dominios nuevos o muy similares al original. Entre los aspectos clave para analizar:

• Antigüedad del dominio: los dominios registrados hace pocos días o semanas son altamente sospechosos. Un dominio legítimo de un banco o empresa grande suele tener varios años de antigüedad.
• WHOIS y datos de registro: consulta la información del propietario, fecha de creación, fecha de expiración y datos de contacto. Muchos dominios de phishing usan privacidad WHOIS o datos falsos.
• Typosquatting y ataques homográficos: busca variaciones del dominio original, por ejemplo, observa si existe una web ejemplo.com original con un dominio diferente a la fake, que puede ser ejemρlo.com con caracteres Unicode que parecen idénticos visualmente. En este caso, la p de la web oficial es una P convencional, mientras que en el caso de la falsa es una letra griega rho, y si no te fijas bien, parecen iguales.
• Registros DNS:
  • Registros A y AAAA: ¿A qué IP apunta el dominio?
  • Registros NS (Name Servers): Proveedores de DNS poco conocidos o cambiados recientemente pueden ser señal de alerta.
  • Registros MX, SPF, DKIM y DMARC.
• Ubicación geográfica y proveedor de hosting: muchos sitios de phishing se alojan en países con regulaciones laxas o en servicios de hosting barato.

Para comprobar esto, te recomiendo hacer uso de herramientas online muy sencillas de usar donde puedes introducir la URL o link de la web que estás intentando comprobar, y te darán los resultados, como whois.

Te recomiendo leer nuestra explicación sobre qué son los DNS y cómo protegen tu navegación diaria.

Certificados, cifrado y encabezados HTTP

El candado verde (HTTPS) ya no es suficiente para confiar en un sitio. La mayoría de los sitios de phishing actuales usan certificados válidos (gracias a Let’s Encrypt). Por eso, tienes que revisar el certificado SSL/TLS de una web, y ver si el emisor del certificado es de confianza o si es Let’s Encrypt. En éste segundo caso, es probable que pueda ser phishing, aunque no es un signo 100% seguro, como tampoco lo es si no tiene HTTPS, pero en principio, al no estar protegidas, no deberías ceder tus datos. Si quieres, puedes comprobar los registros usando el comando o con las herramientas de desarrollo de tu navegador web favorito:

curl -I ejemplo.com

Si estás en Windows y Linux, pulsa Ctrl + Mayús + I o F12. En macOS usa Cmd + Option + I. Así accedes a las herramientas de desarrollo de tu navegador.

En el encabezado que muestra, deben aparecer:

• Strict-Transport-Security (HSTS)
• Content-Security-Policy (CSP)
• X-Frame-Options o frame-ancestors
• X-Content-Type-Options: nosniff

Si lo prefieres, puedes también usar herramientas en línea gratuitas como:

• crt.sh
• ssllabs

También te puede interesar conocer la diferencia entre una red pública y una privada para navegar seguro.

Patrones de phishing y comportamiento sospechoso

Además del análisis técnico, existen patrones de comportamiento y diseño muy característicos de los sitios falsos. Entre los patrones que te pueden alertar de que se trata de una web falsa están:

• Lenguaje y urgencia: mensajes que generan miedo o prisa (“Tu cuenta será bloqueada en 24 horas”, “Has ganado un premio”, «Tienes un virus», etc.).
• Errores gramaticales y ortográficos: aunque cada vez son menos comunes gracias a la IA, siguen apareciendo.
• Diseño inconsistente: logos de baja calidad, tipografías diferentes a las oficiales.
• Solicitud excesiva de datos: piden más información de la necesaria.
• Redirecciones y acortadores de URL: el enlace que pulsas no lleva directamente al dominio final.
• Dominios que imitan marcas conocidas: Bancos, Microsoft 365, Google, Apple, Correos, etc.
• Información legal: cuando una web carece de página con la información de la empresa que hay detrás o cuando no tiene página con la información legal, tampoco debes fiarte.

Inspección del código fuente y scripts

Esta es una de las técnicas más efectivas para detectar sitios falsos avanzados. Sin embargo, si no sabes de código fuente, puede ser algo complejo, y poco efectivo para la mayoría de los usuarios. En caso de tener nociones de desarrollo y de lenguajes típicos como PHP, JavaScript, etc., puedes usar las herramientas de desarrollador de tu navegador web como te indiqué anteriormente para ver el código de la web en cuestión y analizar el código en busca de:

• Scripts externos sospechosos: archivos JavaScript cargados desde dominios desconocidos.
• Formularios: Revisa la etiqueta
  
• Código ofuscado: JavaScript muy largo o con funciones extrañas.
• Iframes ocultos: elementos <iframe> invisibles.
• Eventos de teclado: scripts que capturan pulsaciones de teclas (keyloggers).

Todo ello lo puedes ver en la pestaña Inspección de las herramientas de desarrollo de tu navegador web, pero también puedes inspeccionar otras pestañas interesantes:

• Pestaña Network: observa todas las peticiones que realiza la página.
• Pestaña Console: busca errores o mensajes sospechosos.
• Pestaña Application: Cookies y Local Storage.

¡Comenta! ¿Alguna vez has caído en una de estas estafas?