Imagina la escena: alguien te escribe un nombre desconocido por Telegram, te deja un enlace corto y escribe "urgente, échale un vistazo". O en un chat de trabajo, alguien deja surl.li/abcdef sin ninguna explicación. O ves un código QR en un poste en la ciudad con la inscripción "90% de descuento". ¿Qué hace la persona promedio? Exacto: pulsa. Porque es interesante. Porque podría ser un descuento de verdad. Porque un compañero lo dejó, así que es normal.
Y lo que sucede después es una lotería. A veces es un descuento real. A veces es un sitio de phishing que imita a tu banco. A veces es una descarga automática de algo desagradable. A veces simplemente recopilan datos sobre ti: IP, dispositivo, geolocalización.
Un enlace corto, por su propia naturaleza, oculta la URL final. Esta es a la vez su principal ventaja (compacidad, comodidad) y su principal vulnerabilidad (nadie sabe a dónde lleva). Pero hay buenas noticias: comprobar un enlace antes de hacer clic es mucho más fácil de lo que parece. Y, literalmente, solo lleva un minuto.
¿Por qué son peligrosos los enlaces cortos?
Primero, un poco de teoría para entender de qué estamos hablando:
Un enlace normal es transparente. Se ve el dominio, se ve la ruta, se entiende aproximadamente adónde se dirige. https://privatbank.ua/login es claro, pero https://privat-bank-login.ru/secure ya resulta sospechoso, y la mayoría de la gente lo notará.
El enlace corto es opaco. https://surl.li/abcdef no proporciona información sobre la URL final. Podría tratarse del sitio web oficial de Privatbank o de una copia exacta alojada en un dominio ruso. La única diferencia radica en la configuración de la redirección. Y esto solo se puede saber si se comprueba.
Esto es precisamente lo que utilizan los atacantes. Las campañas de phishing, el spam y el malware emplean enlaces acortados para eludir los filtros y reducir las sospechas. Cuando una persona ve un enlace corto y ordenado, en lugar de una URL larga y sospechosa con un dominio desconocido, baja la guardia.
Método 1: Expanda los enlaces antes de navegar.
El método más fácil y obvio es mirar a dónde lleva un enlace antes de acceder a él. Hay varias maneras de hacerlo:
Truco de Bitly con +. Si ves un enlace de Bitly (formato bit.ly/xxxxx), añade + al final de la URL y ábrelo en un navegador. Por ejemplo, bit.ly/3xKm9pQ+. En lugar de una redirección, verás una página de estadísticas con la URL final.
Servicios de implementación en línea. Existen herramientas especiales que permiten insertar un enlace corto y obtener la URL final sin necesidad de realizar ningún proceso adicional. Una de ellas es https://surl.li/en/check-short-url . Inserta un enlace sospechoso, haz clic en "Verificar" y descubre a dónde conduce, incluso antes de que el navegador haya realizado una sola redirección. Es práctico, rápido y no requiere instalación.
Coloca el cursor sobre el enlace en tu navegador. Si el enlace aparece como texto clicable, simplemente sitúalo sobre él y la URL aparecerá en la esquina inferior izquierda del navegador. Sin embargo, este método no es compatible con dispositivos móviles.
Método 2: Comprobar el dominio final
Has expandido el enlace y visto la URL final, pero no te detengas ahí. Ahora necesitas evaluar el dominio en sí. Qué debes buscar:
Similitud con una marca conocida, con pequeñas modificaciones. privatbank.ua es real, mientras que privat-bank.ua, privatbank.com y privatbank-secure.xyz probablemente sean intentos de phishing. Esto se conoce como typosquatting: se registra un dominio similar a uno conocido y se atrae a los usuarios a él.
Dominio de nivel superior inusual. Si su banco o servicio siempre ha tenido un dominio .ua o .com, y el enlace lleva a .ru, .xyz, .tk o .ml, tenga cuidado. Los dominios de nivel superior gratuitos se utilizan con frecuencia para sitios de phishing puntuales.
Sin HTTPS. En 2026, cualquier sitio web legítimo que recopile datos utilizará HTTPS. Si el enlace lleva a http:// sin la "s", es mejor cerrar la pestaña.
Estructura de URL poco clara. Un sitio web bancario legítimo no se parece a secure-login.verification-id-12345.com/privatbank/auth. Los sitios legítimos tienen una estructura de URL clara y comprensible.
Método 3: Utilizar el verificador de reputación de URL.
Si no solo quieres ver la URL final, sino también comprobar si se sabe que es maliciosa, existen herramientas para comprobar la reputación:
Navegación segura de Google. Integrada en Chrome y la mayoría de los navegadores modernos. Si se sabe que un sitio es de phishing o contiene malware, el navegador mostrará una advertencia. Sin embargo, esta es una medida reactiva, ya que Google no detecta los sitios peligrosos de forma instantánea.
VirusTotal. Un servicio gratuito que te permite pegar una URL y compararla con más de 70 bases de datos antivirus simultáneamente. Te muestra si alguna ha detectado algún problema. Resulta especialmente útil para enlaces que acaban de aparecer y aún no se han añadido a la Navegación Segura de Google.
Verificación de Whois y dominio. Si el dominio se registró hace una semana, es una señal de alerta importante. Los sitios de phishing no duran mucho, se bloquean rápidamente, por lo que los atacantes registran otros nuevos. Puedes verificar la fecha de registro del dominio a través de cualquier servicio Whois.
Método 4: Entorno aislado – abrir enlaces de forma aislada
A veces necesitas abrir un enlace, pero quieres hacerlo de forma segura. Para ello, existen los llamados "sandboxes": entornos aislados donde el sitio web se carga sin acceso a tu dispositivo.
El modo incógnito ofrece una protección mínima. No guarda cookies ni datos de sesión, pero no protege en absoluto contra código malicioso.
Entornos de prueba para navegadores. Servicios como Browserling o Any.run te permiten abrir una URL en un navegador remoto y ver qué sucede, sin poner en riesgo tu dispositivo. Ves la página en tu pantalla, pero la interacción real se produce en sus servidores.
Un dispositivo o máquina virtual independiente. Si trabajas en seguridad o pruebas, conviene tener una máquina virtual o un teléfono antiguo aparte, exclusivamente para abrir enlaces sospechosos.
Para el usuario promedio, el aislamiento de procesos puede resultar un poco paranoico. Pero si recibes un enlace de una fuente desconocida que involucra finanzas, contraseñas o información personal, es mejor prevenir que lamentar.
Señales de alerta: cuándo definitivamente no debes presionar
Hay situaciones en las que no se necesita verificación; simplemente no se debe abrir el enlace:
Remitente desconocido + enlace corto sin contexto. Si una persona en la que no confías o que no conoces en absoluto te envía un simple enlace sin explicación, la probabilidad de que te resulte útil es prácticamente nula.
Presión y urgencia. “¡Urgente!”, “solo hoy”, “tu cuenta será bloqueada” son tácticas manipuladoras clásicas. Los servicios legítimos no se comportan así.
¿Un premio inesperado? ¿No te inscribiste en ningún concurso y "ganaste un iPhone"? Esto no es una coincidencia, es ingeniería social.
Los enlaces SMS de supuestos bancos o servicios de mensajería son una práctica común. Los bancos legítimos envían SMS desde números oficiales y nunca solicitan que hagas clic en un enlace para ingresar tu contraseña o los datos de tu tarjeta. Los servicios de mensajería pueden enviar enlaces de seguimiento, pero si no has realizado ningún pedido, el paquete no es tuyo.
Qué hacer si ya te has mudado
Bueno, a veces la mano hace clic más rápido que el cerebro. No hay necesidad de entrar en pánico, pero es necesario actuar:
Si la página solicita que introduzca información, no escriba nada y cierre la pestaña. Abrir la página no suele ser crítico; el peligro comienza al introducir datos o descargar archivos.
Si descargas algo, no abras el archivo. Ejecuta un análisis antivirus inmediatamente o, si no tienes uno, descarga la versión gratuita de Malwarebytes y realiza el análisis.
Si ingresaste una contraseña, cámbiala inmediatamente en el servicio que el sitio web suplantaba. Si usas la misma contraseña en otros sitios, cámbiala en todos. Por eso, usar contraseñas únicas para cada servicio no es una exageración, sino una necesidad.
Si ingresaste los datos de tu tarjeta, llama a tu banco y bloquéala. Es mejor que te emitan una nueva tarjeta y estés unos días sin ella que pasar meses intentando obtener un reembolso.
Cómo los servicios de acortamiento de enlaces están luchando contra esto
Los servicios responsables de acortamiento de enlaces comprenden que su plataforma no solo puede ser utilizada por profesionales del marketing honestos. Por ello, los servicios habituales —y Surli es uno de ellos— cuentan con sus propios sistemas de moderación y verificación de enlaces para detectar contenido malicioso. Los enlaces que dirigen a sitios web de phishing o sitios maliciosos conocidos se bloquean a nivel de la plataforma.
Pero esto no significa que puedas delegar completamente la responsabilidad en el servicio. Constantemente aparecen nuevos sitios maliciosos, y siempre hay un lapso entre su creación y su bloqueo. Por lo tanto, tu propia vigilancia y comprobación a través de https://surl.li/en/check-short-url no es una paranoia excesiva, sino un hábito inteligente.
Resumen: La regla de los dos segundos
Comprobar un enlace corto antes de hacer clic no lleva más de dos segundos, si sabes cómo hacerlo. Simplemente pégalo en el verificador, observa la URL final y evalúa el dominio. ¡Listo!
No es difícil y no requiere conocimientos técnicos. Solo se necesita un hábito, igual que comprobar el remitente antes de abrir un archivo adjunto. Todos hemos aprendido a no abrir archivos adjuntos desconocidos. Es hora de aprender a no hacer clic en enlaces opacos sin al menos una verificación mínima.
Porque un clic en el lugar equivocado puede costar mucho más que esos dos segundos que querías ahorrar.
