Cómo saber si un sitio web es estafa: 11 señales de alerta y las verificaciones que la mayoría omite

1. La URL no coincide con la marca

Esta es la verificación más confiable, y la mayoría de las personas aún la omite. Los estafadores registran dominios que parecen correctos a primera vista pero no lo son. Tres variantes aparecen una y otra vez:

• Typosquatting: amaz0n.com (cero en lugar de o), paypa1.com (uno en lugar de l), netfl1x-billing.com. Tu ojo completa la letra correcta porque tu cerebro la espera.
• Ataques homógrafos: Letras cirílicas y griegas que se renderizan idénticamente a las latinas. La а en аpple.com puede ser cirílica. Luce idéntica, pero va a un servidor diferente.
• Trucos de subdominio: microsoft.security-login.com NO es un sitio de Microsoft. El dominio real es lo que está directamente antes del .com. Lee las URLs de derecha a izquierda. security-login.microsoft.com sería Microsoft. microsoft.security-login.com pertenece a quien registró security-login.com.

Antes de escribir una contraseña, mira la barra de direcciones y encuentra el último punto antes de la primera barra. Ese es el dominio real. Si no es la marca en la que crees estar, cierra la pestaña.

2. El TLD es sospechoso

No todos los dominios de nivel superior son iguales. Algunos registradores venden dominios por menos de un dólar sin verificación. Los estafadores los compran al por mayor, los queman en una semana y siguen adelante. Los TLDs que dominan los reportes de abuso en 2026:

• .xyz, .top, .click, .buzz, .live
• .store, .shop, .online, .ltd
• .sbs, .rest, .cfd, .icu

No son automáticamente malos. Muchos proyectos legítimos usan .xyz. La regla es contextual: un banco importante, una agencia gubernamental o una empresa Fortune 500 no te enviará a una página de inicio de sesión con .xyz. Microsoft no usa .click. Tu banco no usa .sbs. Chase usa chase.com. Cuando la marca es seria pero el TLD es barato, la discrepancia es la señal. Los dominios corporativos legítimos son casi siempre .com, .org, .net o un código de país como .co.uk.

3. El certificado SSL es gratuito y completamente nuevo

El candado en la barra de direcciones antes significaba algo. Ahora significa que el sitio compró o generó un certificado TLS, lo cual cualquiera puede hacer gratis en menos de 60 segundos usando Let's Encrypt. Un candado NO significa que el sitio sea seguro. Significa que el tráfico entre tú y el sitio está cifrado, incluso si el sitio en sí es una estafa.

Haz clic en el candado y mira los detalles del certificado. Dos cosas vale la pena verificar:

• Emisor: Let's Encrypt, ZeroSSL y Google Trust Services son gratuitos. Los bancos y empresas generalmente usan certificados de Extended Validation (EV) de pago de DigiCert, Sectigo o Entrust.
• Período de validez: Si el certificado fue emitido hace 3 días y el sitio afirma ser tu banco de 20 años, algo está mal. Los certificados reales de bancos se renuevan en ciclos, pero el dominio tiene un largo historial.

Un certificado de Let's Encrypt de tres días en una página que pide tu inicio de sesión es una señal amarilla por sí sola, y una señal roja que grita cuando se combina con cualquier otro elemento de esta lista.

4. La página pide demasiado, demasiado pronto

Las empresas reales ya tienen tus datos. Los estafadores necesitan recopilarlos. Esa asimetría se manifiesta en lo que la página pide antes de hacer algo útil.

Una página de inicio de sesión bancario legítima pide tu nombre de usuario y contraseña. Quizás un código 2FA. Eso es todo. Una página de inicio de sesión fraudulenta a menudo pide tu nombre de usuario, contraseña, número de seguro social, fecha de nacimiento, nombre de soltera de tu madre, número de tarjeta, CVV y un PIN de "verificación", todo en la misma pantalla, antes de haber realizado ninguna transacción.

Replantéalo así: las empresas reales PIERDEN datos con el tiempo y te piden confirmar solo lo que necesitan. Los estafadores GANAN datos y quieren todo de una sola vez porque solo tienen una oportunidad. Si el formulario pide más de lo que parece proporcional a la acción, detente.

5. Lenguaje de urgencia que no tiene sentido

"Tu cuenta será suspendida en 30 minutos a menos que la verifiques." "Se detectó un inicio de sesión inusual. Confirma ahora o pierde el acceso." "Último aviso: el reembolso vence a medianoche."

Los bancos no funcionan así. Los gobiernos no funcionan así. Los servicios de mensajería no funcionan así. Las instituciones reales te dan días o semanas, usan correo certificado para cualquier asunto legalmente serio y te hacen llamar a su número publicado. Cuanto más corto es el plazo y más alta es la temperatura emocional, más probable es que sea una estafa. La presión artificial de tiempo existe por una sola razón: apagar la parte de tu cerebro que de otro modo verificaría la URL.

Si un mensaje te presiona a actuar en menos de una hora, esa urgencia ES la señal. Cierra la pestaña, abre una nueva, escribe la URL real de la marca tú mismo e inicia sesión normalmente. Si la alerta es real, la verás allí también.

6. Gramática, puntuación y copias pixel-perfect

"Busca mala gramática" fue un buen consejo hace una década. La IA ha acabado con esa era. Las páginas fraudulentas en 2026 a menudo están mejor escritas que la marca real. La gramática sola no te salvará.

Lo que todavía funciona es buscar inconsistencias que un equipo de diseño real nunca entregaría:

• Logo ligeramente del color equivocado o estirado unos pocos píxeles
• Esquinas de botones redondeadas de forma diferente al resto del sitio de la marca
• Dos fuentes que no van juntas
• Links del pie de página que todos van a la misma página de marcador de posición, o a #
• Iconos de redes sociales sin enlaces detrás
• Fecha de copyright de hace dos años

El truco: abre el sitio real de la marca en una segunda pestaña y ponlos lado a lado. Las falsificaciones se desmoronan en 10 segundos cuando puedes hacer A/B entre ellos. Los estafadores optimizan para la primera impresión, no para la auditoría.

7. El dominio es completamente nuevo

Los bancos y las empresas reales han tenido sus dominios durante 15 a 30 años. Los dominios fraudulentos tienen generalmente días o semanas de antigüedad.

Verifica en 20 segundos en whois.domaintools.com o who.is. Pega el dominio, mira la fecha "Registrado en". Si un sitio que afirma ser Bank of America fue registrado el martes pasado, ya terminaste. Cierra la pestaña.

Regla general: cualquier dominio con menos de 90 días que afirme ser una marca conocida es una estafa hasta que se demuestre lo contrario. Las marcas reales no migran silenciosamente a un dominio de dos semanas sin un comunicado de prensa.

8. La página de contacto tiene una dirección de Gmail

Las empresas reales usan correo electrónico en su propio dominio. El soporte de Chase es algo @chase.com, no chase-support-2024@gmail.com. Si la página de "Contáctanos" lista una dirección de correo web gratuita (Gmail, Outlook, Yahoo, ProtonMail) como única forma de llegar al servicio al cliente, el negocio es demasiado pequeño para confiarle tus datos de tarjeta, o es una estafa.

Lo mismo aplica a los números de teléfono. Las empresas reales publican un número gratuito que aparece en los estados de cuenta de tarjetas de crédito y en el panel de conocimiento de Google. Un número de móvil aleatorio en la página de contacto es una advertencia.

9. El enlace llegó de algún lugar que no pediste

SMS no solicitado, correo electrónico, DM o un anuncio de Google en el que hiciste clic en lugar del resultado orgánico. Casi todos los ataques de phishing exitosos comienzan con un enlace que TÚ no solicitaste.

Los bancos, servicios de mensajería, agencias fiscales y exchanges de cripto no te envían mensajes en frío con enlaces de inicio de sesión. USPS no te envía un mensaje con un enlace para pagar una "tarifa de reentrega". La AFIP no te envía un formulario de reembolso por correo electrónico. Coinbase no te contacta en Telegram sobre un problema de seguridad. Cuando el primer contacto es no solicitado y contiene un enlace, trata el enlace como hostil por defecto. Si crees que podría ser real, ve al servicio de la manera normal, escribiendo la URL o usando tus marcadores.

10. Solicitud de "verificación" cuando ya la hiciste

Te incorporaste a tu banco o exchange una vez. Hicieron KYC. Tomaron fotos de tu identificación. Ya terminaron. No te envían correo un año después pidiéndote que "vuelvas a verificar" tu identidad a través de un enlace.

El correo de "por favor verifica tu cuenta" es uno de los trucos más antiguos y todavía uno de los más efectivos, porque suena razonable. No lo es. Si tienes una cuenta y algo está genuinamente mal, verás un banner después de iniciar sesión normalmente. Ningún exchange o banco legítimo requiere reverificación a través de un botón enviado por correo.

11. El método de pago es inusual

Un negocio real acepta tarjetas, PayPal, Apple Pay o transferencia bancaria a través de un procesador reconocido. Un estafador te empuja hacia:

• Tarjetas de regalo (Apple, Amazon, Steam, Google Play)
• Transferencia bancaria a un nombre personal
• Cripto a una dirección de billetera específica, especialmente con urgencia
• Zelle o Venmo a un desconocido, que no puedes revertir

Todos estos comparten una propiedad: una vez enviado, el dinero se fue. Sin contracargos, sin disputas, sin recurso. Exactamente por eso los estafadores los adoran. Un negocio legítimo siempre aceptará un método que te da una forma de disputar el cargo. Cualquiera que se niegue a aceptar una tarjeta para cualquier cosa de más de $50 te está diciendo algo.

Las verificaciones que la mayoría omite

Las 11 señales anteriores capturan la mayoría de las estafas. Las verificaciones a continuación capturan el resto, y casi nadie las hace.

• Pasa el cursor antes de hacer clic. En escritorio, pasar el cursor sobre un enlace muestra la URL de destino real en la parte inferior izquierda del navegador. Haz esto antes de hacer clic en cualquier cosa de un correo electrónico. Si el texto visible dice chase.com pero la vista previa al pasar el cursor muestra ch4se-login.xyz, acabas de salvarte.
• Escribe la URL tú mismo para acciones de alto riesgo. ¿Iniciando sesión en un banco, exchange o portal fiscal? Cierra el correo, abre una nueva pestaña y escribe la URL o usa un marcador que creaste tú mismo. Nunca confíes en un enlace para algo que mueve dinero.
• Verifica con listas de bloqueo públicas. El Informe de Transparencia de Google (transparencyreport.google.com/safe-browsing) y URLhaus (urlhaus.abuse.ch) permiten pegar una URL y ver si ha sido reportada. Tarda 10 segundos.
• Usa una extensión que verifique antes de que la página se renderice. La brecha entre hacer clic y que la página se cargue es donde un ataque drive-by o un formulario de credenciales pueden hacer daño. Una extensión de navegador bien construida ejecuta las 11 verificaciones anteriores más docenas más en menos de un segundo, antes de que la página se pinte. Esa es la capa que los humanos no pueden proporcionar de forma confiable, porque los humanos se cansan.

La última es la más importante porque se ejecuta cada vez, no solo cuando recuerdas ser cuidadoso.

Por qué las extensiones de navegador detectan lo que tú omites

Eres humano. Te cansas. Revisas el correo a las 11 de la noche después de un día largo, haces clic en un enlace porque el asunto activó una respuesta de estrés, omites la barra de URL porque lo has hecho mil veces y la página parece correcta. Esto es normal. Los atacantes cuentan con ello.

Una extensión bien construida no se cansa. Ejecuta las mismas 60 o más verificaciones en cada página, cada vez, antes de que la página se renderice. Eso es SafeBrowz.

• Más de 500 imitaciones de marca rastreadas y comparadas con patrones de URL, incluyendo variantes cirílicas y homógrafas
• Más de 60 patrones de URL de estafa que cubren CAPTCHAs falsos, prompts de ClickFix, drenadores de billeteras y páginas de soporte falsas
• Múltiples listas de bloqueo comunitarias incluyendo PhishTank, URLhaus y feeds de amenazas agregados
• Análisis de contenido con IA en más de 100 idiomas para que las estafas en otros idiomas no sean un punto ciego
• Multinavegador: Chrome, Firefox y Edge, la misma protección en los tres

El nivel gratuito cubre lo básico: imitaciones de marca, patrones de URL y verificaciones de listas de bloqueo. Eso es suficiente para bloquear la gran mayoría de lo que la persona promedio verá en una bandeja de entrada o SMS este año. Premium añade análisis de IA más profundos, protección contra clickjacking, guardia contra pastejack y detección de drenadores de billeteras para usuarios Web3. Todos obtienen la versión gratuita. Para siempre.

Cuando ni siquiera la extensión es suficiente

Ninguna capa única es perfecta. La defensa en profundidad es cómo realmente te mantienes seguro durante años, no semanas. Un stack completo luce así:

• Extensión que verifica URLs y contenido de página antes de renderizar
• Gestor de contraseñas que se negará a autocompletar en un dominio imitador, porque verifica la URL exacta
• Llave de seguridad hardware (YubiKey o similar) para 2FA en tus cuentas más importantes. Resistente al phishing por diseño.
• Escepticismo saludable ante cualquier enlace no solicitado, sin importar qué tan oficial luzca

Cada capa captura algo que las otras omiten. El gestor de contraseñas por sí solo habría detenido una gran fracción de las brechas históricas, porque simplemente no ingresará credenciales en el dominio incorrecto. La llave hardware detiene incluso una página de phishing perfecta de robar tu código 2FA, porque la llave se vincula criptográficamente al dominio real. La extensión captura las amenazas que aparecen antes de que llegues al formulario de inicio de sesión. Combínalas, y el radio de daño se reduce a casi nada.