Lo esencial para detectar una web falsa en pocos minutos
- La URL manda más que el diseño: un sitio fraudulento puede copiar logos, colores y textos con bastante facilidad.
- El candado HTTPS no garantiza legitimidad; solo indica que la conexión está cifrada.
- Las prisas, los avisos de bloqueo, los premios y los supuestos problemas de cuenta son señales clásicas de phishing.
- Si una página pide credenciales, códigos de verificación, DNI o certificado electrónico sin una razón sólida, desconfía.
- Antes de comprar o iniciar sesión, abre la web por un canal independiente y compara datos legales, contacto y dominio.
- Si ya has introducido información, actúa rápido: cambia contraseñas, bloquea tarjetas y reporta el fraude.
Revisa la URL sin confiar en la apariencia
La primera criba la hago siempre en la barra de direcciones. Un sitio fraudulento puede parecer limpio, moderno y hasta profesional, pero si el dominio no encaja, todo lo demás pierde valor. Aquí es donde aparecen trampas como el typosquatting, que consiste en registrar dominios muy parecidos al original, y los ataques de homograph, que usan caracteres visualmente idénticos para engañar al ojo.
INCIBE insiste en comprobar la URL con calma, y tiene sentido: el nombre visible de la página puede ser correcto mientras la dirección real cuenta otra historia. Yo me fijo en cuatro cosas: el dominio principal, los subdominios, los guiones extra y los detalles raros en la ortografía.
| Señal | Qué miro | Qué suele indicar |
|---|---|---|
| Dominio parecido | Variaciones mínimas del nombre real | Intento de imitar una marca conocida |
| Subdominios engañosos | Texto largo antes del dominio principal | Quieren que leas solo la parte que les interesa |
| Errores visuales | Letras cambiadas, faltas o caracteres extraños | Probable sitio preparado para suplantar |
| Redirecciones raras | Te llevan por varias páginas antes de cargar | Más riesgo de suplantación o manipulación |
Un matiz importante: HTTPS no significa que la web sea legítima. Solo quiere decir que tu conexión viaja cifrada. Un estafador también puede usar HTTPS en una página falsa, así que el candado no sustituye a la comprobación del dominio. Cuando la dirección ya me parece dudosa, paso al siguiente filtro: ver quién está detrás.
Comprueba quién está detrás del sitio
Una web fiable suele dejar rastro: aviso legal, política de privacidad, condiciones de compra, datos fiscales, teléfono o una vía de contacto coherente. No busco perfección de agencia, pero sí consistencia. Si una tienda dice operar en España y no ofrece ni un dato legal útil, me suena a negocio montado para durar poco.También miro si la identidad comercial coincide entre todos los puntos de contacto. A veces el logo dice una cosa, el pie de página otra y el correo de soporte termina en un dominio genérico que no encaja con la marca. Ese desorden no demuestra fraude por sí solo, pero sí eleva el riesgo.
- Nombre de empresa: debe coincidir en la web, el contacto y, si aplica, la información legal.
- Dirección y teléfono: no valen solo como decoración; deberían poder verificarse por fuera del sitio.
- Textos legales: si faltan o están copiados sin coherencia, desconfía.
- Antigüedad del dominio: una web recién creada no es fraude automáticamente, pero sí merece más cautela si vende mucho o promete demasiado.
- Sellos de confianza: solo cuentan si puedes relacionarlos con una entidad real y no parecen una pegatina puesta sin control.
Yo no me quedo nunca con un único dato. Un dominio oculto por privacidad puede ser totalmente legítimo; lo sospechoso es el conjunto: identidad borrosa, contacto pobre y promesas agresivas. Cuando esa capa no convence, miro el lenguaje y el comportamiento de la propia página, que suele ser donde la estafa se descose.
Detecta las señales de phishing que aparecen dentro de la página
Las páginas falsas rara vez intentan convencerte con lógica. Suelen presionarte. Te hablan de una incidencia, de un pago bloqueado, de un paquete retenido o de una cuenta que se cerrará si no actúas ya. Esa urgencia es una de las firmas clásicas del phishing. No quieren que pienses; quieren que reacciones.Las señales más claras que yo reviso son estas:
- Urgencia artificial: “último aviso”, “bloqueo inmediato”, “multa”, “tu pedido será devuelto”.
- Solicitud de credenciales: login, contraseña, códigos de verificación o preguntas de seguridad.
- Petición de datos excesivos: DNI, tarjeta, firma electrónica o certificado digital sin contexto sólido.
- Errores y traducciones raras: una empresa seria puede fallar, pero varios fallos juntos son mala señal.
- Diseño demasiado parecido al original: copiar la estética es fácil; copiar la operación real no tanto.
- Botones que empujan a actuar rápido: “confirmar ahora”, “pagar en 10 minutos”, “validar cuenta”.
En España veo mucho el patrón de notificaciones falsas, supuestos avisos de paquetería, bancos, energía o administración. El truco es casi siempre el mismo: te llevan a una pantalla clonada y te piden datos que luego usan para robarte acceso o dinero. Si además te solicitan el certificado electrónico o un código recibido por SMS, el riesgo sube mucho porque ya no están buscando solo información: están intentando tomar el control.
La clave no es buscar una “prueba perfecta” de fraude, sino entender si varias señales encajan a la vez. Si la web urge, la URL no cuadra y el mensaje pide datos sensibles, yo no sigo negociando con la página: la cierro. Y ahí entra la parte más práctica, que es comprobarla por un canal seguro antes de hacer nada.
Verifica la web por un canal seguro antes de comprar o iniciar sesión
Cuando algo me genera dudas, nunca vuelvo a pulsar el enlace original para “mirarlo otra vez”. Abro la marca o el servicio desde un canal independiente: escribiendo la dirección a mano, entrando desde la app oficial o usando un buscador para localizar la entidad real y comparar. Eso elimina muchas trampas basadas en enlaces manipulados.
También reviso si el método de pago tiene sentido. Si un sitio me empuja a transferencia inmediata, criptomonedas o tarjetas regalo, me aparto. Si vende online, suelo preferir métodos con más protección para el comprador. Una tienda legítima puede ofrecer varias opciones; una fraudulenta suele apretar para que pagues rápido y sin margen de reacción.- Abre la web desde un acceso que controles, no desde el enlace sospechoso.
- Compara el nombre de la empresa, el dominio y los datos legales.
- Lee la política de devoluciones y el contacto, no solo la portada.
- Comprueba si el navegador muestra avisos de sitio peligroso o de descarga dudosa.
- Si te pide iniciar sesión, piensa si esa acción tiene sentido para el servicio en cuestión.
También conviene recordar algo que se repite poco y salva mucho: un sitio legítimo no necesita forzarte con prisa. Si el mensaje es “actúa ya o pierdes todo”, yo lo interpreto como una estrategia de presión, no como una prueba de urgencia real. Y si el sitio sigue generando dudas, lo correcto es cortar la interacción y pasar a la respuesta defensiva.
Qué hacer si ya has entrado o has dado datos
Si has introducido una contraseña, un número de tarjeta o datos personales, el tiempo importa. Lo primero es cortar la cadena: no sigas rellenando formularios, no respondas mensajes asociados y no descargues ningún archivo adicional. Después, cambia la contraseña desde un dispositivo fiable y revisa si la reutilizabas en otros servicios.
Si has introducido datos bancarios, contacta con tu banco cuanto antes para bloquear la tarjeta o vigilar movimientos. Si la página te pidió un código de verificación, asume que el atacante puede haber intentado entrar en una cuenta real y activa la autenticación en dos pasos donde sea posible. Yo también reviso sesiones abiertas, dispositivos vinculados y correos de recuperación, porque a veces el problema no está en la página sino en lo que hace con el acceso que le diste.
- Contraseña comprometida: cámbiala y no la reutilices en otros servicios.
- Tarjeta o cuenta bancaria: bloquea y notifica al banco de inmediato.
- DNI, dirección o teléfono: vigila intentos de suplantación y mensajes extraños.
- Certificado o firma electrónica: trata esa credencial como comprometida y revisa su estado con la entidad emisora si procede.
- Archivo descargado: analiza el dispositivo con herramientas de seguridad y desinstala lo que no reconozcas.
En España, además, conviene guardar capturas, el dominio sospechoso y cualquier correo o SMS relacionado antes de que desaparezca. Si vas a denunciar o reportar el fraude, esa evidencia ayuda mucho más que una descripción vaga. Y si la página suplantaba a una entidad conocida, reportarlo rápido también sirve para frenar a otros usuarios antes de que caigan.
La regla que mejor me evita caer en una web falsa
Si tuviera que resumirlo en una sola forma de trabajo, me quedo con esta: paro, verifico y solo entonces actúo. Paro cuando la web me mete prisa o me pide datos sensibles; verifico la URL, la identidad y el canal de acceso; y, si algo sigue sin cuadrar, cierro la pestaña sin intentar “ver qué pasa”.
Ese pequeño cambio de ritmo evita la mayoría de los errores caros. No hace falta ser técnico para detectar una estafa, pero sí hace falta no regalarle segundos al atacante. Cuando me encuentro una página dudosa, yo no busco una excusa para confiar: busco razones objetivas para no hacerlo, y normalmente aparecen antes de llegar al final de la pantalla.
Si quieres quedarte con una sola idea, que sea esta: una web falsa puede copiar el diseño, pero le cuesta mucho más copiar la coherencia. Ahí está la diferencia que te protege.
