Aviso del FBI 2026: las páginas de inicio de sesión falsas se ocultan tras redirecciones que engañan a los escáneres de URL
El FBI afirma que los estafadores ya desvían a las víctimas reales a páginas de inicio de sesión falsas mientras muestran a los escáneres y a los investigadores una página inofensiva y ajena. Un enlace que "da un resultado limpio" puede seguir siendo una trampa. Esto es lo que significa y cómo protegerte.
¿Una página de inicio de sesión puede parecer segura para un escáner y aun así robar tu contraseña?
Veredicto: sí. Una página de inicio de sesión puede pasar una comprobación de URL puntual y aun así ser una trampa. El FBI advierte que los delincuentes usan sistemas de distribución de tráfico y cadenas de redirección para mostrar contenido inofensivo a los escáneres y a los investigadores mientras desvían en silencio a las víctimas reales hacia una página que captura credenciales. La defensa no depende de que ningún escáner sea perfecto: nunca inicies sesión desde un enlace de un correo, un SMS o un anuncio. Escribe tú mismo la dirección o ábrela desde un marcador guardado, y luego revisa la barra de direcciones antes de introducir una contraseña. Activa la verificación en dos pasos para que una contraseña robada por sí sola no baste.
El titular
El 18 de junio de 2026, el Centro de Denuncias de Delitos en Internet (IC3) del FBI publicó un aviso de servicio público, número de alerta I-061826-PSA, titulado "Cyber Criminals Redirecting Users to Fraudulent Websites with Malicious Traffic Distribution Systems" (Ciberdelincuentes que redirigen a usuarios a sitios web fraudulentos con sistemas maliciosos de distribución de tráfico). Advierte que los delincuentes usan sistemas de distribución de tráfico, o TDS, para llevar en silencio a las personas desde un enlace en el que confiaban hasta un destino fraudulento, incluidas páginas de inicio de sesión falsas creadas para capturar credenciales. La misma maquinaria decide quién ve la trampa y quién ve algo inofensivo, y eso es lo que permite que estas páginas falsas sobrevivan más de lo que deberían.
Qué es realmente un sistema de distribución de tráfico
Un sistema de distribución de tráfico es una pieza de infraestructura que se sitúa entre un enlace y su destino y decide a dónde enviar a cada visitante. En el marketing legítimo dirige los clics de los anuncios a la página de destino correcta según la región o el dispositivo. En manos de los delincuentes, explica el FBI, se convierte en una centralita para el fraude. El aviso describe un TDS como tecnología que se usa para "encaminar a los visitantes del tráfico de internet hacia distintos destinos después de que los usuarios visitan páginas web, hacen clic en enlaces de anuncios, se apuntan a promociones y descuentos o descargan una aplicación".
La palabra clave es distintos. Dos personas pueden hacer clic en exactamente el mismo enlace y acabar en dos lugares completamente diferentes. Una recibe una página de aspecto real pero inofensiva. La siguiente recibe un clon idéntico al píxel del inicio de sesión de un banco o de un correo. La decisión ocurre en una fracción de segundo, antes incluso de que la página se cargue, según quién parezca ser el visitante.
Según el FBI, el TDS delictivo perfila a cada visitante por atributos como la dirección IP, la geografía, el navegador, el sistema operativo y el tipo de dispositivo. Ese perfil decide la ruta. Un visitante que coincide con el perfil objetivo, una víctima probable en el país adecuado y en el tipo de dispositivo adecuado, es encaminado hacia el fraude. Un visitante que parece un investigador, un servicio de escaneo o alguien fuera de la región objetivo es encaminado en su lugar hacia una página limpia.
Cloaking: por qué un escáner ve una cosa y tú ves otra
Este encaminamiento selectivo se llama cloaking (encubrimiento), y es la parte del aviso del FBI que más importa a cualquiera que confíe en una herramienta de "comprueba este enlace". El aviso lo dice sin rodeos: "Un ciberdelincuente puede usar un TDS para identificar a usuarios de regiones que no son su objetivo, lo que le permite evitar la detección al mostrar contenido seguro a los objetivos no deseados, incluidos los investigadores de seguridad".
Léelo otra vez, porque ese es todo el problema. La infraestructura delictiva muestra deliberadamente contenido seguro a los investigadores de seguridad. Cuando un escáner de URL automatizado visita el enlace, a menudo parece un investigador: una dirección IP de un centro de datos, una región inusual, un navegador sin interfaz, ninguna huella de dispositivo normal. Así que el TDS le sirve la página inofensiva. El escáner registra un veredicto limpio. Mientras tanto, una persona real con un teléfono en el país objetivo hace clic en el mismo enlace y recibe la trampa de credenciales.
Así es como una página de inicio de sesión falsa pasa una comprobación y aun así roba contraseñas. La comprobación fue honesta. Solo vio el señuelo. El FBI también señala que, para ocultar el destino final, los sistemas encaminan a las víctimas a través de "una compleja cadena de nodos intermedios para esconder el destino final malicioso, lo que dificulta rastrearlo y bloquearlo". Un escáner que sigue el primer salto y se detiene, o al que la cadena redirige a una página limpia, nunca llega a la página en la que acaba la víctima.
Cómo se empuja a las víctimas hacia la cadena
La maquinaria de redirección solo funciona si la gente hace clic en el primer enlace, así que el FBI enumera las formas habituales de canalizar a las víctimas. Cita los enlaces en correos de phishing, el envenenamiento de la optimización en buscadores que promueve enlaces de anuncios fraudulentos que imitan a los legítimos, y el compromiso de sitios web legítimos que luego redirigen en silencio a sus propios visitantes.
Esa última vía es la más perversa. Un sitio web en el que has confiado durante años queda comprometido, y un script oculto empieza a alimentar al TDS con una parte de sus visitantes. No hiciste clic en un anuncio dudoso ni en un correo sospechoso. Fuiste a un sitio que conocías, y de camino, la centralita te atrapó. Desde el destino, señala el FBI, los delincuentes redirigen selectivamente a los usuarios a "sitios de inicio de sesión comprometidos o falsos que pueden alojar páginas de phishing para el fraude financiero en línea" o les solicitan descargar actualizaciones de software que contienen malware.
Comprueba ahora mismo un enlace sospechoso
¿Te llegó un enlace de inicio de sesión por correo, SMS o anuncio del que no te fías? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) sigue la redirección y lee la página en la que acaba, y luego devuelve un veredicto en unos tres segundos. Gratis, sin registro.
Lo que SafeBrowz ve en la red
Aquí es donde la diferencia entre una comprobación puntual de un enlace y un motor que corre en el navegador se vuelve concreta. Un escáner independiente echa un único vistazo al enlace, a menudo desde un entorno que el encubrimiento reconoce y desactiva. SafeBrowz ejecuta su detección de 3 capas (Local + APIs + IA) y está hecho para manejar exactamente el patrón de redirección y encubrimiento que describe el FBI.
- La capa 1, la detección local, resuelve el host final de aterrizaje, no solo el enlace con el que empezaste. Seguir una cadena de redirección hasta donde realmente termina es la primera defensa frente a un primer salto de aspecto limpio. La capa 1 ejecuta luego más de 60 firmas de patrones de URL y más de 550 firmas de marcas contra ese host final. Si la página que finalmente se carga lleva una marca conocida (tu banco, tu proveedor de correo, un exchange de cripto) en un dominio que no es el oficial de esa marca, lo marca sin contenido, antes de que termine de renderizarse cualquier formulario de inicio de sesión. Un clon no tiene que engañar a un modelo para que lo atrapen aquí. Basta con el desajuste entre la marca y el dominio.
- La capa 2, las comprobaciones de reputación y API, agrega inteligencia de amenazas que incluye Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y señales de TLD de estafa para detectar destinos que otros sistemas ya han quemado. Esta es la capa que un encubrimiento puro está diseñado para esquivar, que es exactamente la razón por la que es una de tres y no el motor entero.
- La capa 3, el análisis de contenido con IA a través de nuestro proxy (Premium), lee la página en vivo que la víctima recibe de verdad, en más de 100 idiomas. Como la extensión corre en tu navegador, en tu dispositivo real, en tu región real, la página que analiza es la misma que el TDS decidió servirte, no un señuelo saneado entregado a un escáner. Reconoce la imitación de formularios de inicio de sesión y los diseños de captura de credenciales, y puede marcar un clon recién creado en el momento en que se carga, antes de que ninguna lista de bloqueo lo tenga.
El alcance honesto: ningún motor lo atrapa todo, y un operador decidido aún puede encubrirse frente a cualquier señal aislada. Lo que cambia las probabilidades es contar con tres capas independientes y, sobre todo, analizar la página desde dentro del propio navegador de la víctima en lugar de desde un servicio de escaneo que el encubrimiento puede reconocer y al que puede entregar un señuelo.
Hacia dónde se extiende a continuación el cloaking con TDS
El encubrimiento no es nuevo, pero que el FBI le ponga su nombre en un aviso público te dice que se ha vuelto algo generalizado, y las técnicas generalizadas se vuelven más baratas y automatizadas. Algunas direcciones que merece la pena vigilar.
El cloaking como servicio de pago. La parte difícil de este ataque es la lógica de encaminamiento y el suministro de dominios nuevos, no la página falsa. Espera más paneles de "antibot" y "filtrado" vendidos a estafadores poco cualificados, de modo que un kit básico de phishing venga con evasión de investigadores incorporada por defecto. Eso eleva el tiempo de supervivencia de las páginas de inicio de sesión falsas en todos los frentes.
Segmentación más fina por clic. El mismo perfilado que decide víctima frente a investigador puede afinarse aún más: servir la trampa solo a un país concreto, a los clientes de un banco concreto inferidos por el referrer, incluso a una franja horaria concreta después de una filtración. Una segmentación estrecha significa que menos muestras de escáner llegan a ver la versión maliciosa, lo que hace que las listas de bloqueo estáticas reaccionen más despacio.
Anuncios maliciosos y envenenamiento del SEO como puerta de entrada. El FBI ya enumera el envenenamiento del SEO y los anuncios fraudulentos como puntos de entrada. A medida que los resultados de búsqueda mezclan más enlaces resumidos por IA y colocaciones patrocinadas, un resultado envenenado que pasa por un TDS es más difícil de verificar para un lector casual, porque el enlace visible y el destino final ya no son lo mismo.
El hilo conductor: la tendencia apunta a separar lo que ve un escáner de lo que recibe una víctima. La detección que solo llega a ver la vista del escáner seguirá perdiendo terreno. La detección que ve la vista de la víctima es el contraataque.
Por qué un motor en el navegador supera aquí a una pasarela o a una lista de bloqueo
Vale la pena ser preciso sobre por qué esta técnica derrota a algunas defensas y a otras no, porque la arquitectura lo es todo.
Una pasarela de correo escanea el enlace, no la página en la que aterrizas. Las pasarelas de seguridad a menudo precargan los enlaces para evaluarlos. Un TDS que perfila al visitante le servirá encantado a esa pasarela una página limpia, y luego te servirá la trampa cuando hagas clic minutos después desde tu teléfono en tu salón. La pasarela vio el señuelo. Tú ves lo real. La pasarela lo dio por bueno.
Una lista de bloqueo estática va siempre un paso por detrás de una cadena nueva. Las listas de bloqueo funcionan con dominios y URL que ya se han denunciado. Un TDS levanta constantemente nodos intermedios y hosts finales nuevos, y se esfuerza específicamente por ocultar el destino final para que nunca se muestre ni se denuncie en primer lugar. Para cuando un dominio cae en una lista, la campaña ya ha rotado.
Un motor en el navegador evalúa la página después de que la redirección se resuelve, en tu dispositivo. Esta es la ventaja estructural. SafeBrowz corre en el punto en el que el encubrimiento ya ha tomado su decisión y te ha servido, específicamente a ti, la página que quiere que veas. No hay señuelo que entregarle. Sigue la cadena hasta el final y lee lo que realmente se renderizó, con imitación de marca y formularios de credenciales incluidos. La misma propiedad que hace eficaz al encubrimiento frente a los escáneres remotos, que muestra contenido distinto a visitantes distintos, queda neutralizada cuando el detector es el visitante.
Nada de esto hace infalible a un motor de navegador. Lo hace la capa adecuada para esta amenaza concreta. Combínalo con el hábito humano que recomienda el FBI, nunca iniciar sesión desde un enlace, y el encubrimiento pierde su principal ventaja.
Cómo bloquea SafeBrowz esta amenaza
SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA. Frente al patrón de redirección encubierta del aviso del FBI, el motor está diseñado para juzgar el destino, no el señuelo.
- Capa 1, local: más de 60 firmas de patrones de URL y más de 550 firmas de marcas corren dentro de la extensión. Resuelve el host final de aterrizaje tras la cadena de redirección y marca sin contenido una marca conocida que aparece en un dominio no oficial, de modo que una página de inicio de sesión falsa se atrapa antes de que su formulario termine de cargarse.
- Capa 2, APIs: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser e inteligencia de TLD de estafa para detectar destinos que otros ya conocen.
- Capa 3, análisis profundo con IA (Premium): el análisis de contenido con IA a través de nuestro proxy lee la página en vivo que la víctima recibe de verdad, en más de 100 idiomas, reconoce la imitación de páginas de inicio de sesión y de captura de credenciales, y puede marcar un clon recién creado en el momento en que se carga.
Alcance honesto: SafeBrowz marca la página de inicio de sesión falsa en el dispositivo que aterriza en ella, que es el lugar correcto para romper una redirección encubierta. No puede deshacer el robo de una contraseña que ya escribiste y enviaste, y por eso el hábito de no iniciar sesión nunca desde un enlace, junto con la verificación en dos pasos, va al lado del motor, no por detrás. La extensión gratuita de navegador hace esto en escritorio, y la app de SafeBrowz para Android en Google Play aplica el mismo motor a los enlaces que abres en tu teléfono, donde aterrizan muchos de estos SMS y anuncios.
Las firmas de detección provienen de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.
Qué aspecto tienen estos enlaces encubiertos
No puedes distinguir de forma fiable un enlace encubierto a simple vista, y ese es el sentido del aviso. Pero los destinos siguen compartiendo la vieja forma: un nombre de marca real pegado a un dominio que no es de la marca, alcanzado solo tras una redirección. Estos son patrones ilustrativos, no dominios reales, para mostrar la forma que los atacantes reutilizan.
- secure-account-verify-login.com (el inicio de sesión real de un banco vive en el dominio propio del banco, nunca en un host genérico de "secure-verify")
- mail-signin-session-renew.net (tu proveedor de correo no traslada su inicio de sesión a un dominio aparte de "session-renew")
- tracking-redirect.click/r/aB3xQ (un redirector corto que te traspasa; la página final es lo que importa, no este salto)
La lección no es memorizar dominios malos. Es que el enlace en el que hiciste clic y la página en la que acabas pueden ser dos cosas distintas, y solo la segunda puede hacerte daño. Así que juzga la página de la barra de direcciones en el momento en que vas a escribir una contraseña, no el enlace en el que confiaste de camino.
Señales de alarma: cuándo dar por hecho que una página de inicio de sesión es una trampa
- Llegaste haciendo clic en un enlace de un correo, SMS, mensaje directo o anuncio, en lugar de escribir la dirección. Esto por sí solo es la vía de riesgo número uno del FBI.
- La barra de direcciones no es exactamente el dominio oficial. Palabras de más, guiones, un código de país raro o un nombre de marca enterrado dentro de un host más largo son todos indicios.
- Rebotaste por una o varias redirecciones para llegar. Un inicio de sesión legítimo no suele hacerte pasar por una cadena de hosts desconocidos.
- La página exige volver a iniciar sesión con urgencia para "verificar", "asegurar" o "renovar" una cuenta, con una fecha límite. La urgencia fabricada es el indicio más antiguo.
- Pide más que tu contraseña: un número de tarjeta, un código de un solo uso por teléfono, una frase semilla. Los inicios de sesión reales no recopilan eso de camino.
- Vino de un anuncio de búsqueda o de un resultado de búsqueda envenenado en vez del propio sitio de la marca. El FBI cita específicamente el envenenamiento del SEO y los anuncios fraudulentos.
Cualquiera de estas es razón suficiente para parar. Dos o más, y deberías dar por hecho que la página es hostil y cerrarla.
Qué hacer ahora mismo
El consejo del FBI dirigido a particulares y el hábito práctico que derrota al encubrimiento son el mismo: no dejes que un enlace decida dónde inicias sesión.
- Nunca inicies sesión desde un enlace. Ni de un correo, ni de un SMS, ni de un anuncio. Si un mensaje dice que tu cuenta necesita atención, sal del mensaje y llega a la cuenta por tu cuenta.
- Escribe tú mismo el dominio o usa un marcador guardado. Abre una pestaña nueva y escribe la dirección oficial, o usa un marcador que creaste cuando sabías que estabas en el sitio real. Esto evita por completo la cadena de redirección, que es de lo que depende el encubrimiento.
- Revisa la barra de direcciones antes de escribir una contraseña. El FBI aconseja verificar que la URL sea auténtica, y advierte de que una URL maliciosa puede parecerse a una real o estar en un subdominio de un dominio legítimo. Lee el dominio registrado real, de derecha a izquierda, en el momento de iniciar sesión.
- Activa la verificación en dos pasos. Si una contraseña robada no basta para entrar, una sola página encubierta hace mucho menos daño. Prefiere una app de autenticación o una llave de hardware antes que los códigos por SMS siempre que puedas.
- Denúncialo a las autoridades. En España, avisa al INCIBE en el 017 o en incibe.es y presenta una denuncia ante la Policía Nacional o la Guardia Civil. En Estados Unidos, denúncialo al FBI en ic3.gov (Internet Crime Complaint Center, IC3); presentar la denuncia ayuda a los investigadores a mapear estas redes de redirección. Incluye el enlace en el que hiciste clic y la dirección en la que acabaste.
Actualizado el 29 de junio de 2026.
Bloquea la página falsa antes de escribir
SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge (Safari muy pronto) más una app en vivo para Android que sigue la redirección hasta donde realmente aterriza y marca una página de inicio de sesión falsa antes de que introduzcas nada. Como lee la página desde dentro de tu propio navegador, ve lo que te sirvió un enlace encubierto, no el señuelo que recibe un escáner remoto. Reconoce más de 550 marcas, marcadas automáticamente cuando una página intenta suplantarlas, con análisis de contenido con IA en más de 100 idiomas para clones recién creados. Gratis para siempre, sin necesidad de cuenta. Consultas: [email protected].
Añadir a Chrome
Añadir a Firefox
Añadir a Edge
Obtener en Android
En resumen: el aviso del FBI es que un enlace y la página en la que aterriza pueden ser dos cosas distintas por diseño, así que un resultado de escaneo limpio nunca es permiso para escribir tu contraseña. Nunca inicies sesión desde un enlace, escribe tú mismo la dirección, activa la verificación en dos pasos y pon SafeBrowz en tu navegador para que la página de inicio de sesión falsa encubierta se juzgue en tu dispositivo, donde el señuelo no puede llegar.
Preguntas frecuentes
¿De verdad una página de inicio de sesión falsa puede pasar un escaneo de URL y aun así ser peligrosa?
Sí. El aviso del FBI del 18 de junio de 2026 explica que los sistemas delictivos de distribución de tráfico muestran contenido seguro a los escáneres y a los investigadores mientras desvían a las víctimas reales hacia una página que captura credenciales. El escaneo es honesto, pero ve un señuelo. Por eso nunca debes tratar un escaneo limpio como permiso para iniciar sesión desde un enlace. Escribe tú mismo la dirección o usa un marcador, y revisa la barra de direcciones antes de introducir una contraseña.
¿Qué es un sistema de distribución de tráfico, o TDS?
Un TDS es infraestructura que se sitúa entre un enlace y su destino y decide a dónde enviar a cada visitante. El FBI lo describe como tecnología que encamina el tráfico a distintos destinos después de que un usuario hace clic en un enlace, un anuncio o una descarga. El marketing legítimo lo usa para encaminar clics de anuncios; los delincuentes lo usan para enviar a las víctimas probables al fraude mientras envían a los investigadores y a los escáneres a algún sitio inofensivo.
¿Qué es el cloaking en el phishing?
El cloaking (encubrimiento) consiste en mostrar contenido distinto a visitantes distintos. El aviso del FBI afirma que los delincuentes usan un TDS para evitar la detección mostrando contenido seguro a los objetivos no deseados, incluidos los investigadores de seguridad, mientras sirven el fraude real a las víctimas seleccionadas. Perfila a los visitantes por dirección IP, geografía, navegador, sistema operativo y tipo de dispositivo para decidir quién ve qué.
¿Por qué esto derrota a una sola comprobación de URL?
Una sola comprobación suele echar un único vistazo al enlace, a menudo desde una IP de centro de datos o un navegador sin interfaz que el encubrimiento reconoce como investigador y al que sirve una página limpia. La cadena de redirección también oculta el destino final malicioso, así que el escáner puede no llegar nunca a la página en la que aterriza la víctima. La comprobación registra el señuelo y lo informa como limpio.
¿Cómo gestiona SafeBrowz una redirección encubierta?
SafeBrowz corre dentro de tu navegador en tu dispositivo real, así que ve la página que el encubrimiento te sirvió de verdad, no un señuelo destinado a un escáner. Su motor de 3 capas resuelve el host final de aterrizaje tras la redirección, marca sin contenido una marca conocida en un dominio no oficial, contrasta con las API de reputación y usa análisis de contenido con IA para leer la página en vivo y detectar la imitación de formularios de inicio de sesión. Ningún motor es perfecto, pero analizar el destino desde el propio navegador de la víctima neutraliza la principal ventaja del encubrimiento.
¿Cuál es el mejor hábito único para evitar esto?
Nunca inicies sesión desde un enlace. Si un correo, un SMS o un anuncio dice que tu cuenta necesita atención, no hagas clic para iniciar sesión. Abre una pestaña nueva y escribe tú mismo la dirección oficial, o usa un marcador guardado. Esto se salta por completo la cadena de redirección, que es de lo que depende el encubrimiento. Luego revisa la barra de direcciones antes de escribir tu contraseña.
¿La verificación en dos pasos detiene esto?
Reduce mucho el daño. Si una página encubierta roba tu contraseña pero tienes activada la verificación en dos pasos, el atacante todavía no puede entrar solo con la contraseña. Prefiere una app de autenticación o una llave de hardware antes que los códigos por SMS cuando sea posible, ya que algunos kits de phishing avanzados intentan retransmitir los códigos en tiempo real. La verificación en dos pasos es un respaldo, no una razón para introducir tu contraseña en una página a la que llegaste por un enlace.
¿Dónde denuncio una página de inicio de sesión falsa o una estafa de redirección?
En España, avisa al INCIBE en el 017 o en incibe.es y denuncia ante la Policía Nacional o la Guardia Civil. En Estados Unidos, denúncialo al Centro de Denuncias de Delitos en Internet del FBI en ic3.gov. Incluye el enlace en el que hiciste clic y la dirección final en la que aterrizaste. Presentar la denuncia ayuda a los investigadores a mapear estas redes de redirección y su alojamiento. Si introdujiste credenciales, cambia esa contraseña de inmediato en el sitio real, activa la verificación en dos pasos y vigila la cuenta por si hay actividad no autorizada.