Saltar al contenido principal

Cómo funcionan los enlaces enmascarados en correos de phishing

· 4 min de lectura
Equipo BrisaMail
Equipo de desarrollo

Un correo dice "Haz clic aquí para ver tu factura" y el texto muestra www.tubanco.com, pero al hacer clic te lleva a un sitio completamente distinto. Este es el principio detrás de los enlaces enmascarados, una de las técnicas de phishing más comunes y difíciles de detectar a simple vista.

¿Qué es un enlace enmascarado?

En HTML (el formato que usan la mayoría de los correos modernos), un enlace tiene dos partes independientes:

  • El texto visible: lo que ves en pantalla, por ejemplo www.banco-seguro.com
  • La URL de destino: a dónde te lleva realmente, por ejemplo http://sitio-malicioso.xyz/robar-datos

Un atacante puede escribir cualquier texto como ancla del enlace. Así, lo que parece un enlace legítimo a tu banco, red social o tienda en línea puede llevar a una página diseñada para robar tus credenciales.

Variantes de enlaces engañosos

1. Texto que simula una URL legítima

El caso más directo: el texto del enlace muestra una dirección confiable, pero el destino es otro.

Texto visible: https://www.paypal.com/account
Destino real:  https://paypa1-secure.xyz/login

2. Acortadores de URL

Servicios como bit.ly, tinyurl.com o t.co ocultan por completo el destino real. Si bien tienen usos legítimos, en un correo no solicitado son una señal de alerta.

Texto visible: Revisa tu pedido
Destino real:  https://bit.ly/3xK9mZ2 → (podría ser cualquier sitio)

3. Ataques homográficos (IDN)

Esta técnica usa caracteres de otros alfabetos que se ven idénticos a letras latinas. Por ejemplo, la letra cirílica "а" es visualmente igual a la "a" latina, pero para el navegador es un dominio completamente distinto.

Legítimo:  apple.com
Falso:     аpple.com  (la primera "а" es cirílica)

Estos dominios se codifican en formato "punycode" (empiezan con xn--), pero los navegadores y clientes de correo a menudo los muestran decodificados, ocultando la diferencia.

4. URLs con dirección IP

En lugar de un nombre de dominio, el enlace apunta directamente a una dirección IP numérica. Los sitios legítimos casi nunca hacen esto.

Destino: http://192.168.45.12/login

Cómo verificar un enlace manualmente

  1. Pasa el cursor sobre el enlace sin hacer clic. La mayoría de los clientes de correo muestran la URL real en la barra de estado o en un tooltip.
  2. Compara los dominios: el dominio del texto visible debería coincidir con el dominio de la URL de destino.
  3. Busca señales sospechosas: errores ortográficos sutiles en el dominio, subdominios largos (ej. login.banco.sitio-atacante.com), o el uso de IP en lugar de dominio.
  4. No confíes en HTTPS ciegamente: un candado en el navegador solo significa que la conexión está cifrada, no que el sitio sea legítimo. Los atacantes también usan certificados SSL.

Cómo lo maneja BrisaMail

BrisaMail analiza cada enlace dentro del cuerpo del mensaje y aplica múltiples capas de detección:

  • Enlaces engañosos: cuando el texto visible muestra un dominio diferente al destino real, BrisaMail marca el enlace como peligroso y muestra ambos dominios para que puedas comparar.
  • Ataques homográficos: detecta dominios con codificación punycode (xn--) y mezcla de scripts (cirílico + latino, griego + latino), alertándote sobre posibles suplantaciones.
  • Acortadores de URL: identifica los servicios de acortamiento más comunes y te notifica que el destino real está oculto.
  • URLs basadas en IP: señala enlaces que apuntan a direcciones IP directas en lugar de dominios legítimos.
  • Discrepancia de remitente: detecta cuando la dirección de respuesta (Reply-To) apunta a un dominio diferente al del remitente, una técnica usada para interceptar tus respuestas.

Cuando BrisaMail detecta cualquiera de estas situaciones, muestra un diálogo de advertencia antes de abrir el enlace, permitiéndote ver la URL real de destino y tomar una decisión informada.

Conclusión

Los enlaces enmascarados explotan una debilidad fundamental del correo HTML: la separación entre lo que ves y a dónde te lleva. Entrenar el ojo para detectar inconsistencias es importante, pero contar con un cliente de correo que analice los enlaces por ti añade una capa de protección que puede evitarte un mal rato.