Resumen

Cuando apunta a un hipervínculo en Microsoft Internet Explorer, Microsoft Outlook Express o Microsoft Outlook, la dirección del sitio web normalmente aparece en la barra de estado en la parte inferior de la ventana. Después de hacer clic en un vínculo que se abre en Internet Explorer, la dirección del sitio web normalmente aparece en la barra de direcciones de Internet Explorer y el título de la página web normalmente aparece en la Barra de título de la ventana.

Sin embargo, un usuario malintencionado podría crear un vínculo a un sitio web engañoso (suplantado) que muestre la dirección, o URL, a un sitio web legítimo en la barra de estado, la barra de direcciones y la barra de título. En este artículo se describen los pasos que puede seguir para ayudar a mitigar este problema y para ayudarle a identificar un sitio web o una dirección URL engañosas (suplantados).

Más información

Este artículo explica los pasos que puede seguir para ayudar a protegerse de sitios web suplantados. Para resumir, estos pasos son:

  • Instale la actualización de seguridad acumulativa de MS04-004 para Internet Explorer (832894).

  • Compruebe que hay un icono de candado en la barra de estado inferior derecha y compruebe el nombre del servidor que proporciona la página que está viendo antes de escribir cualquier información personal o confidencial.

  • No haga clic en ningún hipervínculo en el que no confíe. Escriba usted mismo en la barra de direcciones.

Instalar la actualización de seguridad acumulativa de MS04-004 para Internet Explorer (832894)

Para obtener información adicional sobre esta actualización de seguridad, visite el siguiente sitio web de Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS04-004.mspxEste artículo también explica los pasos que le ayudarán a identificar sitios web suplantados e hipervínculos malintencionados.

Nota No es necesario instalar esta actualización si ya ha instalado Microsoft Windows XP Service Pack 2. La actualización se incluye en este Service Pack.

Cosas que puede hacer para ayudar a protegerse de sitios web suplantados

Asegúrese de que el sitio web usa seguridad de capa de sockets seguros/capa de transporte (SSL/TLS) y compruebe el nombre del servidor antes de escribir información confidencial.

SSL/TLS se usa normalmente para ayudar a proteger la información a medida que viaja por Internet al cifrarla. Sin embargo, también sirve para demostrar que está enviando datos al servidor correcto. Al comprobar el nombre en el usuario del certificado digital para SSL/TLS, puede comprobar el nombre del servidor que proporciona la página que está viendo. Para ello, compruebe que aparece el icono de candado en la esquina inferior derecha de la ventana de Internet Explorer.

Nota: Si la barra de estado no está habilitada, no aparecerá el bloqueo. Para habilitar la barra de estado, haga clic en Very, a continuación, haga clic para seleccionar la barra
de estado.

Para comprobar el nombre del servidor que aparece en el certificado digital, haga doble clic en el icono de candado y, a continuación, compruebe el nombre que aparece junto a Emitido a. Si el sitio web no usa SSL/TLS, no envíe información personal ni confidencial al sitio. Si el nombre que aparece junto a Emitido a es diferente del nombre del sitio que cree que proporciona la página que está viendo, cierre el explorador para salir del sitio. Para obtener información adicional sobre cómo hacerlo, visite el siguiente sitio web de Microsoft:

http://www.microsoft.com/protect/yourself/phishing/spoof.mspx

Acciones que puede realizar para protegerse de hipervínculos malintencionados

El paso más eficaz que puede realizar para protegerse de hipervínculos malintencionados es no hacer clic en ellos. En su lugar, escriba la dirección URL del destino previsto usted mismo en la barra de direcciones. Si escribe manualmente la dirección URL en la barra de direcciones, puede comprobar la información que Internet Explorer usa para acceder al sitio web de destino. Para ello, escriba la dirección URL en la barra de direcciones y presione ENTRAR.

Nota La barra de direcciones no aparece si no está habilitada. Para habilitar la barra de direcciones, haga clic en Ver,seleccione Barras de herramientas y, a continuación, haga clic
para seleccionar Barra de direcciones.

Algunas cosas que puede hacer para identificar sitios suplantados cuando el sitio web no está usando SSL/TLS

El paso más eficaz que puede realizar para comprobar el nombre del sitio que proporciona la página que está viendo es comprobar el nombre en un certificado digital mediante SSL/TLS. Sin embargo, si el sitio no usa SSL/TLS, no podrá comprobar de manera automática el nombre del sitio que proporciona la página que está viendo. Sin embargo, hay algunas cosas que puede hacer para que, en algunos casos, le ayuden a identificar sitios suplantados.

Precaución La siguiente información proporciona instrucciones generales basadas en ataques conocidos. Como los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios web suplantados usando otros medios que no sean los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene algún motivo para sospechar de la autenticidad de un sitio, déjelo cerrando inmediatamente la ventana del explorador. Con frecuencia, la forma más rápida de cerrar la ventana del explorador es presionar ALT+F4.

Intente identificar la dirección URL de la página web actual

Para intentar identificar la dirección URL del sitio web actual, use los métodos siguientes.

Usar los comandos Jscript para intentar identificar la dirección URL real del sitio web actual


Use un JScript en Internet Explorer. En la barra de direcciones, escriba el comando siguiente y, a continuación, presione ENTRAR:

javascript:alert("Dirección URL real: " + location.protocol + "//" + location.hostname + "/"); Tenga cuidado al escribir el script directamente en la barra de direcciones. El script que escriba directamente en la barra de direcciones puede realizar las mismas acciones en el sistema local que el usuario que ha iniciado sesión actualmente.

El JScript muestra la dirección URL real del sitio web que está visitando.

También puede copiar el siguiente código JScript pegarlo en la barra de direcciones para obtener una descripción más detallada de la dirección URL del sitio web:

javascript:alert("La dirección URL real es:\t\t" + location.protocol + "//" + location.hostname + "/" + "\nThe address URL is:\t\t" + location.href + "\n" + "\nIf los nombres del servidor no coinciden, puede ser una suplantación de direcciones". Compare la dirección URL real con la dirección URL de la barra de direcciones. Si no coinciden, es probable que el sitio web se esté falseando. En este caso, es posible que quiera cerrar Internet Explorer.

Usar el panel Historial de Internet Explorer para intentar identificar la dirección URL real del sitio web actual


En los escenarios que Microsoft ha probado, también puede usar la barra del Explorador de historial en Internet Explorer para ayudar a identificar la dirección URL de una página web. En el menú Ver, seleccione Barra del Exploradory, a continuación, haga clic en Historial. Compare la dirección URL de la barra de direcciones con la que aparece en la barra historial. Si no coinciden, es probable que el sitio web se haga falso y que quiera cerrar Internet Explorer.

Pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer


Puede pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer. Al hacerlo, es posible que pueda comprobar la información que Internet Explorer usará para acceder al sitio web de destino. En los escenarios que Microsoft ha probado, puede copiar la dirección URL que aparece en la barra de direcciones y pegarla en la barra de direcciones de una nueva sesión de Internet Explorer para comprobar la información que Internet Explorer realmente usará para acceder al sitio web de destino. Este proceso es similar al paso que se describe en la sección "Cosas que puede hacer para ayudar a protegerse de sitios web suplantados" anteriormente en este artículo.

Precaución Si realiza esta acción en algunos sitios, como en sitios de comercio electrónico, la acción podría provocar la pérdida de la sesión actual. Por ejemplo, el contenido de un carro de la compra en línea se puede perder y es posible que tenga que volver a cargar el carro.

Para pegar la dirección URL en la barra de direcciones de una nueva instancia de Internet Explorer, siga estos pasos:

  1. Seleccione el texto en la barra de direcciones, haga clic con el botón secundario en el texto y, a continuación, haga clic en Copiar.

  2. Cierre Internet Explorer.

  3. Inicie Internet Explorer.

  4. Haga clic en la barra de direcciones, haga clic con el botón derecho y, a continuación, haga clic
    en Pegar.

  5. Presione ENTRAR.

Algunas acciones que puede realizar para identificar hipervínculos malintencionados

La única manera de comprobar la información que Internet Explorer usará para obtener acceso al sitio web de destino es escribiendo manualmente la dirección URL en la barra de direcciones. Sin embargo, hay algunas cosas que puede hacer, en algunos casos, puede ayudarle a identificar un hipervínculo malintencionado.

Precaución La siguiente información proporciona instrucciones generales basadas en ataques conocidos. Como los ataques cambian constantemente, los usuarios malintencionados podrían crear sitios web suplantados usando otros medios que no sean los que se describen aquí. Para ayudar a protegerse, escriba información personal o confidencial en un sitio web solo si ha comprobado el nombre en el certificado digital. Además, si tiene algún motivo para sospechar de la autenticidad de un sitio, déjelo cerrando inmediatamente la ventana del explorador. Con frecuencia, la forma más rápida de cerrar la ventana del explorador es presionar ALT+F4.

Intente identificar la dirección URL que usará un hipervínculo


Para intentar identificar la dirección URL que usará un hipervínculo, siga estos pasos:

  1. Haga clic con el botón secundario en el vínculo y, a continuación, haga clic en Copiar acceso directo.

  2. Haga clic en Inicioy, a continuación,
    en Ejecutar.

  3. Escriba bloc de notas y haga clic en
    Aceptar.

  4. En el menú Editar del Bloc de notas, haga clic
    en Pegar.

Al hacerlo, puede ver la dirección URL completa de cualquier hipervínculo y puede examinar la dirección que usará Internet Explorer. La siguiente lista muestra algunos de los caracteres que pueden aparecer en una dirección URL que podría llevar a un sitio web suplantado:

  • %00

  • %01

  • @

Por ejemplo, se abrirá una dirección URL del siguiente formulario en http://example.com, pero la dirección URL de la barra de direcciones o la barra de estado de Internet Explorer puede aparecer como http://www.wingtiptoys.com:

http://www.wingtiptoys.com%01@example.com

Otros pasos que puede seguir

Aunque estas acciones no le ayudan a identificar una dirección URL o un sitio web engañoso (suplantado), pueden ayudar a limitar el daño que pueda causar un ataque con éxito procedente de un sitio web suplantado o de un hipervínculo malintencionado. Sin embargo, restringen la ejecución de scripts, controles de ActiveX y otros contenidos potencialmente dañinos a los mensajes de correo y los sitios web de la zona de Internet.

  • Use las zonas de contenido web para evitar que los sitios web que se encuentran en la zona de Internet ejecuten scripts, ejecuten controles ActiveX o ejecuten otro contenido perjudicial en el equipo. En primer lugar, establezca el nivel de seguridad de la zona de Internet en Alta en Internet Explorer. Para ello, siga estos pasos:

    1. En el menú Herramientas, haga clic en
      Opciones de Internet.

    2. Haga clic en la pestaña Seguridad, haga clic
      en Internety, a continuación, haga clic en Nivel predeterminado.

    3. Mueva el control deslizante a Altoy, a continuación, haga clic en Aceptar.

    A continuación, agregue las direcciones URL de los sitios web en las que confía a la zona Sitios de confianza. Para ello, siga estos pasos:

    1. En el menú Herramientas, haga clic en
      Opciones de Internet.

    2. Haga clic en la ficha Seguridad.

    3. Haga clic en Sitios de confianza.

    4. Haga clic en Sitios.

    5. Si los sitios que desea agregar no requieren verificación del servidor, haga clic para borrar la opción Requerir verificación del servidor (https:) para todos los sitios de esta zona.

    6. Escriba la dirección del sitio web que desea agregar a la lista
      de sitios de confianza.

    7. Haga clic en Agregar.

    8. Repita los pasos 6 y 7 para cada sitio web que quiera agregar.

    9. Haga clic en Aceptar dos veces.

  • Lea los mensajes de correo electrónico en texto sin formato.

    Para Outlook 2002 y Outlook 2003:

    307594 OL2002: Los usuarios pueden leer el correo electrónico no seguro como texto sin formato

    831607 Cómo ver todos los mensajes de correo electrónico en texto sin formato en Outlook 2003

    para Outlook Express 6:

    291387 OLEXP: Al leer correo electrónico en texto sin formato con características de protección antivirus en Outlook Express 6, puede ver la dirección URL completa de cualquier hipervínculo y examinar la dirección que

    usará Internet Explorer. A continuación se muestran algunos de los caracteres que pueden aparecer en una dirección URL que podrían llevar a un sitio web suplantado:

    • %00

    • %01

    • @

  • Por ejemplo, se abrirá una dirección URL del formulario http://example.com, pero la dirección URL que aparece en la barra de direcciones de Internet Explorer puede mostrar http://www.wingtiptoys.com:

    http://www.wingtiptoys.com%01@example.com

Referencias

Para obtener más información sobre localizadores uniformes de recursos (URL), visite el siguiente sitio web de Word Wide Web Consortium:

http://www.w3.org/Addressing/URL/url-spec.txt Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar asistencia técnica. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×