Pasos para ayudar a identificarse y protegerse de sitios web engañosos (suplantados) e hipervínculos malintencionados

  • Artículo
  • Tiempo de lectura: 9 minutos

Importante

La aplicación de escritorio Internet Explorer 11 está retirada y sin soporte a partir del 15 de junio de 2022 para determinadas versiones de Windows 10.

Todavía puede acceder a sitios antiguos heredados que requieren Internet Explorer con el modo Internet Explorer en Microsoft Edge. Obtenga más información.

La aplicación de escritorio Internet Explorer 11 se redirigirá progresivamente al explorador Microsoft Edge, más rápido y seguro. En última instancia, se deshabilitará a través de Windows Update. Deshabilite IE hoy.

Cuando se apunta a un hipervínculo en Internet Explorer, Outlook, la dirección del sitio web suele aparecer en la barra Estado en la parte inferior de la ventana. Después de seleccionar un vínculo que se abre en Internet Explorer, la dirección del sitio web suele aparecer en la barra de direcciones de Internet Explorer y el título de la página web suele aparecer en la barra Título de la ventana.

Sin embargo, un usuario malintencionado podría crear un vínculo a un sitio web engañoso (suplantado) que muestre la dirección, o dirección URL, a un sitio web legítimo en la barra estado, la barra de direcciones y la barra título. En este artículo se describen los pasos que puede seguir para ayudar a mitigar este problema y para ayudarle a identificar una dirección URL o sitio web engañoso (suplantado).

Versión del producto original:   Internet Explorer
Número KB original:   833786

Más información

En este artículo se analizan los pasos que puede seguir para protegerse de sitios web suplantados. En resumen, estos pasos son:

  • Compruebe que hay un icono de bloqueo en la barra de direcciones r y compruebe el nombre del servidor que proporciona la página que está viendo antes de escribir cualquier información personal o confidencial. Si observa algún error en la barra de direcciones, vea Certificate errors: FAQ.
  • No seleccione ningún hipervínculo en el que no confíe. Escriba usted mismo en la barra de direcciones.

Cosas que puede hacer para protegerse de sitios web suplantados

Asegúrese de que el sitio web usa La capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS) y compruebe el nombre del servidor antes de escribir cualquier información confidencial.

Ssl/TLS suele usarse para ayudar a proteger la información a medida que se desplaza por Internet cifrándose. Sin embargo, también sirve para demostrar que está enviando datos al servidor correcto. Al comprobar el nombre en el usuario del certificado digital para SSL/TLS, puede comprobar el nombre del servidor que proporciona la página que está viendo. Para ello, compruebe que el icono de bloqueo aparece en la barra de direcciones de la ventana del explorador.

Para comprobar el nombre del servidor que aparece en el certificado digital, seleccione el icono de bloqueo y, a continuación, compruebe el nombre que aparece junto a Emitido a. Si el sitio web no usa SSL/TLS, no envíe ninguna información personal o confidencial al sitio. Si el nombre que aparece junto a Emitido a es diferente del nombre del sitio que pensó que proporciona la página que está viendo, cierre el explorador para salir del sitio. Para obtener más información acerca de cómo hacerlo, vea Protegerse de esquemas de suplantación de identidad (phishing)y otras formas de fraude en línea .

El paso más eficaz que puede realizar para protegerse de hipervínculos malintencionados es no seleccionarlos. En su lugar, escriba la dirección URL del destino previsto en la barra de direcciones usted mismo. Si escribe manualmente la dirección URL en la barra de direcciones, puede comprobar la información que Internet Explorer usa para tener acceso al sitio web de destino. Para ello, escriba la dirección URL en la barra de direcciones y, a continuación, presione ENTRAR.

Algunas cosas que puede hacer para identificar sitios suplantados cuando el sitio web no usa SSL/TLS

El paso más eficaz que puede realizar para comprobar el nombre del sitio que proporciona la página que está viendo es comprobar el nombre de un certificado digital con SSL/TLS. Pero si el sitio no usa SSL/TLS, no puede comprobar de forma concluyente el nombre del sitio que proporciona la página que está viendo. Sin embargo, hay algunas cosas que puede hacer que, en algunos casos, le ayuden a identificar sitios suplantados.

Precaución

La siguiente información proporciona directrices generales basadas en ataques conocidos. Dado que los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios web suplantados mediante medios distintos de los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene alguna razón para sospechar de la autenticidad de un sitio, déjelo cerrando la ventana del explorador inmediatamente. Con frecuencia, la forma más rápida de cerrar la ventana del explorador es presionar Alt+F4.

Intente identificar la dirección URL de la página web actual

Para intentar identificar la dirección URL del sitio web actual, use los métodos siguientes.

Usar el panel Historial de Internet Explorer para intentar identificar la dirección URL real del sitio web actual

En los escenarios que Microsoft ha probado, también puede usar la barra explorador de historial en Internet Explorer para ayudar a identificar la dirección URL de una página web. En el menú Ver, elija Barra del explorador y, a continuación, seleccione Historial. Compare la dirección URL de la barra de direcciones con la dirección URL que aparece en la barra Historial. Si no coinciden, es probable que el sitio web se presente de forma errónea y es posible que desee cerrar Internet Explorer.

Pegue la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer

Puede pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer. Al hacerlo, es posible que pueda comprobar la información que Internet Explorer usará para tener acceso al sitio web de destino. En los escenarios que Microsoft ha probado, puede copiar la dirección URL que aparece en la barra de direcciones y pegarla en la barra de direcciones de una nueva sesión de Internet Explorer para comprobar la información que Internet Explorer usará realmente para acceder al sitio web de destino. Este proceso es similar al paso que se describe en Las cosas que puede hacer para ayudar a protegerse de sitios web suplantados anteriormente en este artículo.

Precaución

Si realiza esta acción en algunos sitios, como en sitios de comercio electrónico, la acción puede provocar la pérdida de la sesión actual. Por ejemplo, el contenido de un carro de la compra en línea puede perderse y es posible que tenga que volver a llenar el carro.

Para pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer, siga estos pasos:

  1. Seleccione el texto de la barra Dirección, haga clic con el botón secundario en el texto y, a continuación, seleccione Copiar.
  2. Cierre Internet Explorer.
  3. Abra Internet Explorer.
  4. Seleccione en la barra Dirección, haga clic con el botón secundario y, a continuación, seleccione Pegar.
  5. Presione Entrar.

La única forma de comprobar la información que Usará Internet Explorer para obtener acceso al sitio web de destino es escribiendo manualmente la dirección URL en la barra de direcciones. Sin embargo, hay algunas cosas que puede hacer que, en algunos casos, le ayuden a identificar un hipervínculo malintencionado.

Precaución

La siguiente información proporciona directrices generales basadas en ataques conocidos. Dado que los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios web suplantados mediante medios distintos de los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene alguna razón para sospechar de la autenticidad de un sitio, déjelo cerrando la ventana del explorador inmediatamente. Con frecuencia, la forma más rápida de cerrar la ventana del explorador es presionar Alt+F4.

Para intentar identificar la dirección URL que usará un hipervínculo, siga estos pasos:

  1. Haga clic con el botón secundario en el vínculo y, a continuación, seleccione Copiar método abreviado.
  2. Haga clic en Inicio y, a continuación, en Ejecutar.
  3. Escriba bloc de notas y, a continuación, seleccione Aceptar.
  4. En el menú Editar de Bloc de notas, seleccione Pegar.

Al hacerlo, puede ver la dirección URL completa de cualquier hipervínculo y puede examinar la dirección que usará Internet Explorer. En la siguiente lista se muestran algunos de los caracteres que pueden aparecer en una dirección URL que podría dar lugar a un sitio web suplantado:

  • %00
  • %01
  • @

Por ejemplo, se abrirá una dirección URL del siguiente formulario, pero la dirección URL de la barra de direcciones o la barra estado de http://example.com Internet Explorer puede aparecer como http://www.wingtiptoys.com :

http://www.wingtiptoys.com%01@example.com

Otros pasos que puede seguir

Aunque estas acciones no le ayudan a identificar una dirección URL o un sitio web engañoso (suplantado), pueden ayudar a limitar el daño causado por un ataque exitoso de un sitio web suplantado o un hipervínculo malintencionado. Sin embargo, restringen que los mensajes de correo electrónico y los sitios web de la zona de Internet no ejecuten scripts, ActiveX controles y otro contenido potencialmente perjudicial.

  • Use las zonas de contenido web para evitar que los sitios web que se encuentran en la zona de Internet ejecuten scripts, ejecuten controles ActiveX o ejecuten otro contenido dañino en el equipo. En primer lugar, establece el nivel de seguridad de la zona de Internet en High en Internet Explorer. Para hacerlo, siga estos pasos:

    1. En el menú Herramientas, seleccione Opciones de Internet.
    2. Seleccione la pestaña Seguridad, Internet y, a continuación, seleccione Nivel predeterminado.
    3. Mueva el control deslizante a Alto y, a continuación, seleccione Aceptar.

    A continuación, agregue las direcciones URL de los sitios web de confianza a la zona Sitios de confianza. Para hacerlo, siga estos pasos:

    1. En el menú Herramientas, seleccione Opciones de Internet.
    2. Seleccione la ficha Seguridad.
    3. Seleccione Sitios de confianza.
    4. Seleccione Sitios.
    5. Si los sitios que desea agregar no requieren comprobación del servidor, desactive requerir la comprobación del servidor (https:) para todos los sitios de esta zona.
    6. Escriba la dirección del sitio web que desea agregar a la lista Sitios de confianza.
    7. Seleccione Agregar.
    8. Repita los pasos 6 y 7 para cada sitio web que desee agregar.
    9. Haga clic en Aceptar dos veces.

    Leer mensajes de correo electrónico en texto sin formato.

    Al leer el correo electrónico en texto sin formato, puede ver la dirección URL completa de cualquier hipervínculo y examinar la dirección que usará Internet Explorer. A continuación se muestran algunos de los caracteres que pueden aparecer en una dirección URL que podrían dar lugar a un sitio web suplantado:

    • %00
    • %01
    • @

    Para obtener más información sobre cómo hacerlo, vea Leer mensajes de correo electrónico en texto sin formato.

  • Por ejemplo, se abrirá una dirección URL del siguiente formulario, pero la dirección URL que aparece en el http://example.com texto del correo electrónico puede mostrar http://www.wingtiptoys.com :

    http://www.wingtiptoys.com%01@example.com

Referencias

Para obtener más información acerca de los localizadores uniformes de recursos (URL), vea https://www.w3.org/Addressing/URL/url-spec.txt .

Aviso de declinación de responsabilidades sobre la información de contacto de terceros

Microsoft proporciona información de contacto de terceros para ayudarle a encontrar información adicional sobre este tema. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de la información de contacto de terceros.