Pasos para ayudar a identificar y protegerse de los sitios web y los hipervínculos malintencionados engañosos (falseados)

Cuando apunta a un hipervínculo en Internet Explorer, Outlook, la dirección del sitio Web suele aparecer en la barra de estado situada en la parte inferior de la ventana. Después de seleccionar un vínculo que se abre en Internet Explorer, la dirección del sitio Web suele aparecer en la barra de direcciones de Internet Explorer y el título de la página web aparece normalmente en la barra de título de la ventana.

Sin embargo, un usuario malintencionado podría crear un vínculo a un sitio web engañoso (falseado) que muestra la dirección o dirección URL a un sitio web legítimo en la barra de estado, la barra de direcciones y la barra de título. En este artículo se describen los pasos que puede seguir para ayudar a mitigar este problema y para ayudarle a identificar un sitio web o dirección URL engañoso (falseado).

Versión del producto original:   Internet Explorer
Número de KB original:   833786

Más información

En este artículo se describen los pasos que puede seguir para ayudarle a protegerse de los sitios Web falseados. En Resumen, estos pasos son los siguientes:

  • Compruebe que hay un icono de candado en la barra de direcciones r y compruebe el nombre del servidor que proporciona la página que está viendo antes de escribir la información personal o confidencial. Si observa algún error en la barra de direcciones, vea errores de certificado: preguntas más frecuentes.
  • No seleccione los hipervínculos que no son de confianza. Escríbalos en la barra de direcciones.

Cosas que puede hacer para ayudarle a protegerse de los sitios Web falseados

Asegúrese de que el sitio Web usa la capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS) y compruebe el nombre del servidor antes de escribir la información confidencial.

Normalmente, SSL/TLS se usa para ayudar a proteger la información que se transmite a través de Internet mediante el cifrado. Sin embargo, también sirve para demostrar que está enviando datos al servidor correcto. Al comprobar el nombre del usuario del certificado digital para SSL/TLS, puede comprobar el nombre del servidor que proporciona la página que está viendo. Para ello, compruebe que aparece el icono de candado en la barra de direcciones de la ventana del explorador.

Para comprobar el nombre del servidor que aparece en el certificado digital, seleccione el icono de candado y, a continuación, compruebe el nombre que aparece junto a emitido para. Si el sitio web no usa SSL/TLS, no envíe información personal ni confidencial al sitio. Si el nombre que aparece junto a emitido es distinto del nombre del sitio que cree que proporciona la página que está viendo, cierre el explorador para abandonar el sitio. Para obtener más información sobre cómo hacerlo, consulte protegerse de las tramas de suplantación de identidad (phishing) y otras formas de fraude en línea.

El paso más eficaz que puede realizar para ayudar a protegerse de hipervínculos malintencionados es no seleccionarlos. En su lugar, escriba la dirección URL del destino previsto en la barra de direcciones. Si escribe manualmente la dirección URL en la barra de direcciones, puede comprobar la información que usa Internet Explorer para obtener acceso al sitio web de destino. Para ello, escriba la dirección URL en la barra de direcciones y, a continuación, presione Entrar.

Algunas cosas que puede hacer para identificar sitios falseados cuando el sitio web no usa SSL/TLS

El paso más eficaz que puede realizar para comprobar el nombre del sitio que proporciona la página que está viendo es comprobar el nombre en un certificado digital mediante SSL/TLS. Pero si el sitio no usa SSL/TLS, no puede comprobar de forma concluyente el nombre del sitio que proporciona la página que está viendo. Sin embargo, hay algunas cosas que puede hacer que, en algunos casos, puede ayudarle a identificar los sitios falsificados.

Precaución

La siguiente información proporciona instrucciones generales basadas en ataques bien conocidos. Debido a que los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios Web falseados con medios distintos a los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene algún motivo para sospechar la autenticidad de un sitio, déjelo de inmediato cerrando la ventana del explorador. Con frecuencia, la manera más rápida de cerrar la ventana del explorador es presionar ALT + F4.

Intentar identificar la dirección URL de la página web actual

Para intentar identificar la dirección URL del sitio web actual, use los métodos siguientes.

Usar el panel Historial de Internet Explorer para intentar identificar la dirección URL real del sitio web actual

En los escenarios que Microsoft ha probado, también puede usar la barra Historial del explorador de Internet Explorer para identificar la dirección URL de una página web. En el menú Ver , elija barra del explorador y, a continuación, seleccione historial. Compare la dirección URL de la barra de direcciones con la dirección URL que aparece en la barra Historial. Si no coinciden, es probable que el sitio web se haya representando a sí mismo y que desee cerrar Internet Explorer.

Pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer

Puede pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer. Al hacerlo, es posible que pueda comprobar la información que usará Internet Explorer para obtener acceso al sitio web de destino. En los escenarios que Microsoft ha probado, puede copiar la dirección URL que aparece en la barra de direcciones y pegarla en la barra de direcciones de una nueva sesión de Internet Explorer para comprobar la información que Internet Explorer usará realmente para obtener acceso al sitio web de destino. Este proceso es similar al paso que se describe en lo que se puede hacer para ayudar a protegerse de los sitios Web falseados anteriormente en este artículo.

Precaución

Si realiza esta acción en algunos sitios, como en los sitios de comercio electrónico, la acción puede provocar que se pierda la sesión actual. Por ejemplo, el contenido de un carro de la compra en línea puede perderse y es posible que tenga que rellenar el carro.

Para pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer, siga estos pasos:

  1. Seleccione el texto en la barra de direcciones, haga clic con el botón derecho en el texto y, después, seleccione copiar.
  2. Cierre Internet Explorer.
  3. Inicie Internet Explorer.
  4. Seleccione en la barra de direcciones, haga clic con el botón secundario y seleccione pegar.
  5. Presione Entrar.

La única forma en que puede comprobar la información que Internet Explorer usará para obtener acceso al sitio web de destino consiste en escribir manualmente la dirección URL en la barra de direcciones. Sin embargo, hay algunas cosas que puede hacer, en algunos casos, puede ayudarle a identificar un hipervínculo malintencionado.

Precaución

La siguiente información proporciona instrucciones generales basadas en ataques bien conocidos. Debido a que los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios Web falseados con medios distintos a los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene algún motivo para sospechar la autenticidad de un sitio, déjelo de inmediato cerrando la ventana del explorador. Con frecuencia, la manera más rápida de cerrar la ventana del explorador es presionar ALT + F4.

Para intentar identificar la dirección URL que va a usar un hipervínculo, siga estos pasos:

  1. Haga clic con el botón derecho en el vínculo y seleccione copiar acceso directo.
  2. Haga clic en Inicio y, a continuación, en Ejecutar.
  3. Escriba Notepad y, a continuación, seleccione Aceptar.
  4. En el menú edición en el Bloc de notas, seleccione pegar.

De esta forma, puede ver la dirección URL completa del hipervínculo y puede examinar la dirección que usará Internet Explorer. En la siguiente lista se muestran algunos de los caracteres que pueden aparecer en una dirección URL que puede llevar a un sitio web falso:

  • %00
  • %01
  • @

Por ejemplo, se abrirá una dirección URL del formulario siguiente http://example.com , pero la dirección URL de la barra de direcciones o de la barra de estado en Internet Explorer puede aparecer como http://www.wingtiptoys.com :

http://www.wingtiptoys.com%01@example.com

Otros pasos que puede seguir

Aunque estas acciones no ayudan a identificar una dirección URL o un sitio web engañoso (falseado), pueden ayudar a limitar el daño causado a un ataque realizado con éxito desde un sitio web falso o un hipervínculo malintencionado. Sin embargo, restringen los mensajes de correo electrónico y los sitios web de la zona de Internet de ejecutar scripts, controles ActiveX y otros contenidos potencialmente dañinos.

  • Use las zonas de contenido web para ayudar a evitar que los sitios web que se encuentran en la zona de Internet ejecuten secuencias de comandos, ejecuten controles ActiveX o ejecuten otros tipos de contenido dañino en el equipo. En primer lugar, establezca el nivel de seguridad de la zona de Internet en alto en Internet Explorer. Para hacerlo, siga estos pasos:

    1. En el menú herramientas , seleccione Opciones de Internet.
    2. Seleccione la pestaña seguridad , seleccione Internet y, a continuación, seleccione nivel predeterminado.
    3. Mueva el control deslizante a alta y, después, seleccione Aceptar.

    A continuación, agregue las direcciones URL de los sitios web en los que confía a la zona de sitios de confianza. Para hacerlo, siga estos pasos:

    1. En el menú herramientas , seleccione Opciones de Internet.
    2. Seleccione la ficha Seguridad.
    3. Seleccione sitios de confianza.
    4. Seleccione Sitios.
    5. Si los sitios que desea agregar no requieren la comprobación del servidor, desactive la casilla requerir comprobación del servidor (https:) para todos los sitios de esta zona .
    6. Escriba la dirección del sitio web que desea agregar a la lista de sitios de confianza .
    7. Seleccione Agregar.
    8. Repita los pasos 6 y 7 para cada sitio web que desee agregar.
    9. Haga clic en Aceptar dos veces.

    Leer los mensajes de correo electrónico en texto sin formato.

    Al leer el correo electrónico en texto sin formato, puede ver la dirección URL completa de cualquier hipervínculo y examinar la dirección que utilizará Internet Explorer. A continuación se muestran algunos de los caracteres que pueden aparecer en una dirección URL que puede llevar a un sitio web falsificado:

    • %00
    • %01
    • @

    Para obtener más información sobre cómo hacerlo, consulte leer mensajes de correo electrónico en texto sin formato.

  • Por ejemplo, se abrirá una dirección URL del siguiente formulario http://example.com , pero la dirección URL que aparece en el texto del correo electrónico puede mostrar http://www.wingtiptoys.com :

    http://www.wingtiptoys.com%01@example.com

Referencias

Para obtener más información acerca de los localizadores uniformes de recursos (URL), consulte https://www.w3.org/Addressing/URL/url-spec.txt .

Renuncia de contactos de terceros

Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar información adicional sobre este tema. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la precisión de la información de contacto de terceros.