Pasos para ayudar a identificarse y protegerse de sitios web engañosos (suplantados) e hipervínculos malintencionados

Advertencia

La aplicación de escritorio de Internet Explorer 11 retirada y no compatible se ha deshabilitado permanentemente a través de una actualización de Microsoft Edge en determinadas versiones de Windows 10. Para obtener más información, consulte Preguntas más frecuentes sobre la retirada de aplicaciones de escritorio de Internet Explorer 11.

Cuando señala a un hipervínculo en Internet Explorer, Outlook, la dirección del sitio web suele aparecer en la barra Estado de la parte inferior de la ventana. Después de seleccionar un vínculo que se abre en Internet Explorer, la dirección del sitio web suele aparecer en la barra de direcciones de Internet Explorer y el título de la página web suele aparecer en la barra Título de la ventana.

Sin embargo, un usuario malintencionado podría crear un vínculo a un sitio web engañoso (suplantado) que muestra la dirección o dirección URL a un sitio web legítimo en la barra estado, la barra de direcciones y la barra de título. En este artículo se describen los pasos que puede seguir para ayudar a mitigar este problema y para ayudarle a identificar un sitio web o una dirección URL engañosos (suplantados).

Versión original del producto: Internet Explorer
Número de KB original: 833786

Más información

En este artículo se describen los pasos que puede seguir para protegerse de sitios web suplantados. Para resumir, estos pasos son:

  • Compruebe que hay un icono de bloqueo en la barra de direcciones r y compruebe el nombre del servidor que proporciona la página que está viendo antes de escribir cualquier información personal o confidencial. Si observa algún error en la barra de direcciones, consulte Errores de certificado: Preguntas más frecuentes.
  • No seleccione ningún hipervínculo en el que no confíe. Inscértelos en la barra de direcciones.

Cosas que puede hacer para ayudar a protegerse de sitios web suplantados

Asegúrese de que el sitio web usa Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS) y compruebe el nombre del servidor antes de escribir cualquier información confidencial.

SSL/TLS se usa normalmente para ayudar a proteger la información a medida que viaja a través de Internet cifrándola. Sin embargo, también sirve para demostrar que envía datos al servidor correcto. Al comprobar el nombre del usuario del certificado digital para SSL/TLS, puede comprobar el nombre del servidor que proporciona la página que está viendo. Para ello, compruebe que el icono de bloqueo aparece en la barra de direcciones de la ventana del explorador.

Para comprobar el nombre del servidor que aparece en el certificado digital, seleccione el icono de bloqueo y, a continuación, compruebe el nombre que aparece junto a Emitido. Si el sitio web no usa SSL/TLS, no envíe información personal o confidencial al sitio. Si el nombre que aparece junto a Emitido en es diferente del nombre del sitio que ha pensado que proporciona la página que está viendo, cierre el explorador para salir del sitio. Para obtener más información sobre cómo hacerlo, consulte Protegerse de esquemas de suplantación de identidad (phishing) y otras formas de fraude en línea.

El paso más eficaz que puede realizar para ayudar a protegerse de hipervínculos malintencionados es no seleccionarlos. En su lugar, escriba la dirección URL del destino deseado en la barra de direcciones usted mismo. Si escribe manualmente la dirección URL en la barra de direcciones, puede comprobar la información que Internet Explorer usa para acceder al sitio web de destino. Para ello, escriba la dirección URL en la barra de direcciones y, a continuación, presione Entrar.

Algunas cosas que puede hacer para identificar sitios suplantados cuando el sitio web no usa SSL/TLS

El paso más eficaz que puede realizar para comprobar el nombre del sitio que proporciona la página que está viendo es comprobar el nombre en un certificado digital mediante SSL/TLS. Pero si el sitio no usa SSL/TLS, no puede comprobar de forma concluyente el nombre del sitio que proporciona la página que está viendo. Sin embargo, hay algunas cosas que puede hacer, en algunos casos, que pueden ayudarle a identificar sitios suplantados.

Precaución

La siguiente información proporciona directrices generales basadas en ataques conocidos. Dado que los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios web suplantados mediante medios distintos de los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene alguna razón para sospechar de la autenticidad de un sitio, déjelo cerrando la ventana del navegador inmediatamente. Con frecuencia, la forma más rápida de cerrar la ventana del explorador es presionar Alt+F4.

Intente identificar la dirección URL de la página web actual.

Para intentar identificar la dirección URL del sitio web actual, use los métodos siguientes.

Use el panel Historial de Internet Explorer para intentar identificar la dirección URL real del sitio web actual.

En los escenarios que Microsoft ha probado, también puede usar la barra de History Explorer en Internet Explorer para ayudar a identificar la dirección URL de una página web. En el menú Ver , seleccione Barra de explorador y, a continuación, seleccione Historial. Compare la dirección URL de la barra de direcciones con la dirección URL que aparece en la barra Historial. Si no coinciden, es probable que el sitio web se esté tergiversando y es posible que quiera cerrar Internet Explorer.

Pegue la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer.

Puede pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer. Al hacerlo, es posible que pueda comprobar la información que Internet Explorer usará para acceder al sitio web de destino. En los escenarios que Microsoft ha probado, puede copiar la dirección URL que aparece en la barra de direcciones y pegarla en la barra de direcciones de una nueva sesión de Internet Explorer para comprobar la información que Internet Explorer usará realmente para acceder al sitio web de destino. Este proceso es similar al paso que se describe en la sección Cosas que puede hacer para ayudar a protegerse de sitios web suplantados anteriormente en este artículo.

Precaución

Si realiza esta acción en algunos sitios, como en sitios de comercio electrónico, la acción puede hacer que se pierda la sesión actual. Por ejemplo, el contenido de un carro de la compra en línea puede perderse y es posible que tenga que repoblar el carro.

Para pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer, siga estos pasos:

  1. Seleccione el texto en la barra Dirección, haga clic con el botón derecho en el texto y, a continuación, seleccione Copiar.
  2. Cierre Internet Explorer.
  3. Abra Internet Explorer.
  4. Seleccione en la barra de direcciones, haga clic con el botón derecho y, a continuación, seleccione Pegar.
  5. Presione Entrar.

La única manera de comprobar la información que Internet Explorer usará para acceder al sitio web de destino es escribiendo manualmente la dirección URL en la barra de direcciones. Sin embargo, hay algunas cosas que puede hacer, en algunos casos, pueden ayudarle a identificar un hipervínculo malintencionado.

Precaución

La siguiente información proporciona directrices generales basadas en ataques conocidos. Dado que los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios web suplantados mediante medios distintos de los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene alguna razón para sospechar de la autenticidad de un sitio, déjelo cerrando la ventana del navegador inmediatamente. Con frecuencia, la forma más rápida de cerrar la ventana del explorador es presionar Alt+F4.

Para intentar identificar la dirección URL que usará un hipervínculo, siga estos pasos:

  1. Haga clic con el botón derecho en el vínculo y, a continuación, seleccione Copiar acceso directo.
  2. Haga clic en Inicio y, a continuación, en Ejecutar.
  3. Escriba bloc de notas y, a continuación, seleccione Aceptar.
  4. En el menú Editar del Bloc de notas, seleccione Pegar.

Al hacerlo, puede ver la dirección URL completa de cualquier hipervínculo y puede examinar la dirección que usará Internet Explorer. En la lista siguiente se muestran algunos de los caracteres que pueden aparecer en una dirección URL que podría dar lugar a un sitio web suplantado:

  • %00
  • %01
  • @

Por ejemplo, se abrirá http://example.comuna dirección URL del siguiente formulario , pero la dirección URL de la barra de direcciones o la barra estado de Internet Explorer puede aparecer como http://www.wingtiptoys.com:

http://www.wingtiptoys.com%01@example.com

Otros pasos que puede realizar

Aunque estas acciones no le ayudan a identificar un sitio web o una dirección URL engañosos (suplantados), pueden ayudar a limitar el daño de un ataque correcto desde un sitio web suplantado o un hipervínculo malintencionado. Sin embargo, restringen los mensajes de correo electrónico y los sitios web de la zona de Internet de la ejecución de scripts, controles ActiveX y otro contenido potencialmente perjudicial.

  • Use las zonas de contenido web para evitar que los sitios web que se encuentran en la zona de Internet ejecuten scripts, ejecuten controles ActiveX o ejecuten otro contenido perjudicial en el equipo. En primer lugar, establezca el nivel de seguridad de la zona de Internet en Alto en Internet Explorer. Para hacerlo, siga estos pasos:

    1. En el menú Herramientas, seleccione Opciones de Internet.
    2. Seleccione la pestaña Seguridad , Internet y, a continuación, nivel predeterminado.
    3. Mueva el control deslizante a Alto y, a continuación, seleccione Aceptar.

    A continuación, agregue las direcciones URL de los sitios web de confianza a la zona Sitios de confianza. Para hacerlo, siga estos pasos:

    1. En el menú Herramientas , seleccioneOpciones de Internet.
    2. Seleccione la ficha Seguridad.
    3. Seleccione Sitios de confianza.
    4. Seleccione Sitios.
    5. Si los sitios que desea agregar no requieren la comprobación del servidor, desactive Requerir comprobación del servidor (https:) para todos los sitios de esta zona casilla de verificación.
    6. Escriba la dirección del sitio web que desea agregar a la lista Sitios de confianza .
    7. Seleccione Agregar.
    8. Repita los pasos 6 y 7 para cada sitio web que quiera agregar.
    9. Haga clic en Aceptar dos veces.

    Leer mensajes de correo electrónico en texto sin formato.

    Al leer el correo electrónico en texto sin formato, puede ver la dirección URL completa de cualquier hipervínculo y examinar la dirección que usará Internet Explorer. Estos son algunos de los caracteres que pueden aparecer en una dirección URL que podrían dar lugar a un sitio web suplantado:

    • %00
    • %01
    • @

    Para obtener más información sobre cómo hacerlo, vea Leer mensajes de correo electrónico en texto sin formato.

  • Por ejemplo, se abrirá http://example.comuna dirección URL del siguiente formulario , pero la dirección URL que aparece en el texto del correo electrónico puede mostrar http://www.wingtiptoys.com:

    http://www.wingtiptoys.com%01@example.com

Referencias

Para obtener más información sobre los localizadores uniformes de recursos (URL), vea https://www.w3.org/Addressing/URL/url-spec.txt.

Aviso de declinación de responsabilidades sobre la información de contacto de terceros

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar información adicional sobre este tema. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.