BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 27 junio 2026

Un enlace desconocido en tu correo: ¿cómo lo compruebas sin hacer clic?

¿Cómo decides en treinta segundos si un enlace desconocido en un correo es de confianza? Una lista de comprobación práctica para pymes sin departamento de TI.

Recibes un correo de un proveedor. O un presupuesto de un nuevo cliente. O una solicitud de empleo. Lleva un enlace, y ese enlace apunta a un sitio web que no conoces. ¿Haces clic? Y si es así: ¿qué compruebas primero?

Para quienes no tienen formación técnica, esto suele sentirse como adivinar. "Tiene buena pinta" o "la empresa existe de verdad" no son comprobaciones sólidas, pero es lo que hace la mayoría. En este artículo te mostramos cómo emitir un juicio razonado sobre una URL desconocida en unos treinta segundos, sin necesidad de instalar nada.

Por qué esto importa

En 2026, los correos de phishing ya casi no se detectan por un español descuidado o logos borrosos. Las herramientas de IA generan mensajes cuidados y personalizados. Lo que distingue lo real de lo falso es casi siempre el destino del enlace. Ahí es donde aparecen los errores tipográficos, los dominios extraños y los registros recientes.

La buena noticia: puedes comprobar ese destino sin hacer clic.

Paso 1: lee el enlace antes de hacer clic

Pasa el ratón por encima del enlace (o mantén el dedo pulsado en el móvil sin soltar). En la parte inferior de la pantalla o en un tooltip verás la URL real. Lee solo la parte que aparece antes de la primera barra diagonal. Por ejemplo, en:

https://login.microsoft.com.account-verify.ru/secure

...el dominio real es account-verify.ru, no microsoft.com. La parte de Microsoft es un truco para engañar tu vista.

Regla de oro: lee la URL de derecha a izquierda. El último fragmento antes de la primera / es el dominio que realmente importa.

Paso 2: busca errores tipográficos y extensiones raras

Los atacantes usan con frecuencia dominios que parecen idénticos al original:

  • rabobаnk.nl — la 'a' es una letra cirílica
  • marktplааts.nl — letras trampa dobles
  • kvk-portal.com en lugar de kvk.nl
  • ing.nl.veilig-login.app — ING no usa .app

Si tienes dudas, escribe tú mismo el dominio oficial en una pestaña nueva. Es más rápido que preguntar, y más seguro que hacer clic.

Paso 3: mira quién es el propietario del dominio

Una empresa de confianza suele tener un dominio que lleva años registrado. Un dominio de phishing a menudo tiene apenas días o semanas de antigüedad. Puedes comprobarlo tú mismo mediante una consulta WHOIS. No tiene por qué ser complicado: existen herramientas gratuitas donde introduces un dominio y ves la fecha de registro.

Nuestra herramienta de búsqueda de IP te muestra de un vistazo la dirección IP, el país de alojamiento y el proveedor detrás de un dominio. ¿Una tienda online que de repente funciona desde un servidor en un país inesperado? Puede no ser grave, pero combinado con un correo urgente, es una señal de alerta.

Paso 4: abre los enlaces sospechosos en un entorno seguro

Si realmente necesitas saber qué hay detrás de un enlace —por ejemplo, porque un empleado te pregunta si un correo es legítimo— no lo abras sin más en tu ordenador de trabajo. Dos opciones más sencillas de lo que parecen:

  • Ventana de incógnito en un dispositivo personal: no es lo ideal, pero es mejor que tu sesión de trabajo habitual donde tienes todo iniciado.
  • Escáner de URL online: existen servicios gratuitos donde pegas una URL y la abren en un entorno aislado (sandbox). Recibes una captura de pantalla y un veredicto sobre si es maliciosa.

No hagas esto nunca con enlaces que contengan un fragmento personal único (por ejemplo, un enlace de restablecimiento de contraseña o un enlace de factura con token). Suelen funcionar una sola vez y estarías revelando tu actividad al atacante.

Paso 5: confía en el candado, pero no solo en él

El candado en la barra de direcciones solo indica que el tráfico está cifrado. Los sitios de phishing también tienen su candado en regla hoy en día. No dice nada sobre la fiabilidad del propietario. Úsalo como comprobación básica, no como prueba definitiva.

Una lista de comprobación rápida para tu equipo

  1. Pasa el ratón sobre el enlace y lee el dominio antes de la primera /.
  2. ¿Coincide el dominio letra por letra con la organización real?
  3. ¿El correo llega de la nada y transmite urgencia? Desconfía aún más.
  4. En caso de duda: escribe tú mismo la dirección oficial, o llama al remitente por un número que ya tenías.
  5. Nunca inicies sesión a través de un enlace de un correo que no esperabas.

Si hace falta, imprime estas cinco reglas y ponlas en recepción o en la sala del equipo. No tiene que ser complicado — lo importante es que se haga.

¿Y si ya es demasiado tarde?

¿Alguien ha hecho clic en un enlace sospechoso y puede haber introducido sus credenciales? El tiempo es lo más valioso en ese momento. Cambia inmediatamente la contraseña de la cuenta afectada, cierra todas las sesiones activas y comprueba si tienes activada la autenticación en dos pasos. Si todavía no la tienes configurada en todas partes, este es un buen momento para hacerlo: una contraseña robada por sí sola ya no será suficiente para entrar.

¿Quieres saber dónde está alojado un dominio antes de hacer clic? Nuestra búsqueda de IP es gratuita, sin registro, y te da una primera impresión en segundos.

Onderwerpen

#mkb #security #phishing #Praktisch #Tools Uitleg

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Sin equipo de TI, pero con toda la responsabilidad. Este artículo te da una pila de prioridades: empieza por esto, luego esto otro, y después lo menos urgente. Cada apartado enlaza con una guía más detallada.

2 min
Security zonder IT-afdeling

Archivos adjuntos sospechosos en el correo: seis tipos de archivo a los que prestar atención en 2026

No todo adjunto es peligroso, pero tampoco son todos seguros. Estos seis tipos de archivo merecen atención especial, y te contamos qué hacer si sin querer ya has hecho clic.

6 min
Security zonder IT-afdeling

Códigos QR y phishing: por qué el truco de la pegatina en el parquímetro también afecta a tu oficina

Los códigos QR están en todas partes: en menús, parquímetros y facturas. Pero los ciberdelincuentes los suplantan cada vez más con sus propias pegatinas. Aprende a reconocerlo y a proteger a tu equipo.

5 min
Security zonder IT-afdeling

Compartir archivos de forma segura en la pyme: sin que nadie tenga que aprender una nueva aplicación

La mayoría de las brechas de datos en las pymes no las causan hackers, sino un enlace compartido por error o una cuenta de invitado olvidada. Así organizas el intercambio seguro de archivos en una tarde.

5 min
Security zonder IT-afdeling

Mensaje de ausencia: lo que es mejor no incluir en ese aviso

Tu mensaje de ausencia suele revelar más información de la que crees: quién está fuera, durante cuánto tiempo y quién le sustituye. Así lo configuras para que ayude a tus compañeros sin darle pistas a los estafadores.

5 min
Security zonder IT-afdeling

Lista de verificación de verano para pymes: entra en vacaciones sin sustos

El verano es el momento favorito de los estafadores: confían en que la oficina esté semivacía. Con esta lista práctica, tu pyme entra en el período vacacional sin sobresaltos.

6 min
← Alle artikelen in "Security zonder IT-afdeling"