Cómo comprobar si un sitio web es seguro

SI un sitio web no es seguro, cada vez que lo visitas te arriesgas a exponer tu información personal. A menudo los ciberdelincuentes disfrazan sus páginas maliciosas para que parezcan de confianza y sea fácil caer en trampas de phishing o descargar malware por error.

Esta guía te explica cómo detectar las señales de alarma, cómo verificar datos importantes del sitio web y cómo usar herramientas como verificadores de la seguridad de los sitios web, consultas WHOIS y servicios de protección web.

Independientemente de si navegas por diversión o si introduces información confidencial en algún sitio web, estos pasos te ayudarán a evitar estafas, trampas de phishing y malware, y te darán más control sobre tu seguridad online.

Por qué deberías comprobar la seguridad de un sitio web antes de pulsar en él

Comprobar la seguridad de una página web ayuda a proteger tanto tus datos como tu privacidad y tu dispositivo. Los sitios no seguros pueden albergar malware, estafas de phishing u ofertas falsas diseñadas para engañarte y que reveles información personal o financiera.

Riesgos habituales de los sitios web no seguros

• Infecciones con malware: Estos sitios web pueden instalar virus, ransomware o spyware en tu dispositivo sin que tú lo sepas.
• Estafas de phishing: Los formularios y las páginas de inicio de sesión falsas pueden engañarte para que les des tus contraseñas, números de tarjeta de crédito u otros datos confidenciales.
• Robo de datos: Los sitios no seguros suelen carecer de cifrado, por lo que es mucho más fácil que los atacantes intercepten lo que escribes o subes a Internet.
• Secuestro de navegador: Es posible que te redireccione a páginas dudosas, veas ventanas emergentes constantes o se cambie tu página de inicio.
• Fraude financiero: Los sitios de estafas pueden hacerse pasar por tiendas o servicios legítimos para robarte dinero con transacciones falsas.
• Robo de identidad: La información que proporcionas podría usarse para hacerse pasar por ti o para abrir cuentas con tu nombre.
• Adware y software no deseado: Algunos sitios web fuerzan las descargas o te inundan de anuncios maliciosos que ralentizan tu equipo.

Ejemplos de estafas online reales

Las estafas online pueden adquirir muchas formas diferentes y los sitios web no seguros suelen jugar un papel fundamental para lograr su objetivo. Un ejemplo muy común es la página de inicio de sesión en PayPal falsa. Estas páginas están diseñadas para tener exactamente el mismo aspecto que la real y a menudo se llega a ellas desde un enlace contenido en un correo electrónico de phishing que alerta de actividad sospechosa en tu cuenta. Cuando introduces tus datos de inicio de sesión, los atacantes se hacen inmediatamente con tus credenciales.

Otra táctica implica crear versiones falsas de sitios web enteros, incluyendo el dominio. Un ejemplo clarísimo: los estafadores se ceban cada vez más con las plataformas de IA como ChatGPT. Según los informes más recientes de ciberseguridad, aproximadamente 1 de cada 25 dominios nuevos registrados que imitan a ChatGPT son falsos y maliciosos.

Con frecuencia estos sitios web prometen acceso gratis o temprano a la herramienta, pero en lugar de eso te meten malware o formularios de phishing, o te intentan convencer para que instales dañinas extensiones de navegador. Como suelen usar logos de marcas convincentes y direcciones URL parecidas a las originales, es fácil confundirlas con las verdaderas, especialmente cuando aparecen en anuncios o resultados de búsquedas.

De forma parecida, durante la pandemia de COVID-19 incluso se falsearon sitios web gubernamentales y de salud pública. Los falsificadores los usaron para recopilar información personal con el pretexto de ofrecer ayudas económicas o registros de vacunación.

13 formas de comprobar si un sitio web es seguro

Mantenerse a salvo en Internet requiere estar alerta. Los servicios de seguridad y navegadores modernos te avisan cuando un sitio web es peligroso; por ejemplo, Navegación segura de Google protege a los usuarios marcando los sitios web maliciosos conocidos. Pero incluso con estas defensas, las estafas y los sitios falsos abundan, por lo que lo inteligente es comprobar y revisar un sitio web antes de confiar en él.

1. Busca HTTPS y certificados SSL

Comprueba siempre que aparece el icono del candado HTTPS en la barra de dirección. HTTPS significa que la conexión está cifrada, lo cual impide que los espías lean tus datos en tránsito.

De hecho, los navegadores como Chrome señalan explícitamente los sitios web que no son HTTPS como "No seguro”. El icono del candado o el prefijo "https://” muestra que los datos (por ejemplo, contraseñas o datos de tarjeta de crédito) se envían de forma segura.

Sin embargo, no confundas la aparición de HTTPS con la prueba definitiva de la legitimidad del sitio web. Ahora muchos sitios web de estafas también usan cifrado SSL: un estudio descubrió que el 83% de las páginas de phishing tienen certificados SSL válidos.

2. Comprueba dos veces la URL (vigila que no haya typosquatting)

Inspecciona con atención la URL del sitio web (dirección web). Loa atacantes suelen registrar dominios que se parecen mucho (una práctica que se conoce como typosquatting) y se diferencian únicamente en una letra o un carácter. Por ejemplo, pueden añadir una letra de más, como "ejeemplo.com” o sustituyen una "I” mayúscula por una "i” minúscula. Estos dominios falsos son deliberadamente similares a sitios web de confianza.

Ten en cuenta que si detectas un sitio web de tipo WWW2, no significa que sea fraudulento. Si llegas a una página WWW2, normalmente lo que significa es que el servidor principal del sitio web está sobrecargado y tu tráfico se ha enviado a un segundo servidor.

Realiza siempre una inspección de la URL. Debes estar especialmente alerta a los trucos más sutiles: algunos atacantes utilizan homógrafos Unicode (caracteres de otros alfabetos que parecen idénticos), para que la URL parezca correcta, pero tu computadora ve algo diferente. Cuando te surjan dudas, vuelve a escribir manualmente el dominio correcto o busca el nombre oficial del sitio web para asegurarte de no llegar a un sitio web que está suplantando al real.

3. Usa herramientas de comprobación de la seguridad de los sitios web

Si no estás seguro, comprueba la URL en un servicio de reputación de dominios o en un analizador de seguridad. Estas herramientas (que a menudo proporcionan las empresas de seguridad o los propios motores de búsqueda) agregan datos de las listas negras de malware y motores de análisis. Por ejemplo, la página de estado de Navegación segura de Google te informa si un sitio web está actualmente marcado como peligroso o si se ha visto comprometido recientemente.

Otros verificadores como VirusTotal, SSL Trust y URLscan buscan código malicioso conocido o contenido de phishing. Estos analizadores no detectan en 100% de las amenazas, pero pueden identificar rápidamente problemas obvios. Si el verificador informa que el sitio web no es seguro o si ves una advertencia de phishing, es mejor evitar completamente el sitio web.

4. Verifica el dominio en WHOIS

Se puede usar la herramienta de consulta WHOIS para verificar los datos de registro de un dominio. Te dice cuándo se creó el dominio, quién lo registró y cuándo caduca. Normalmente los negocios legítimos cuentan con dominios establecidos, mientras que los dominios nuevos pueden ser sospechosos. Los sitios falsos no suelen permanecer online mucho tiempo, por lo que la longevidad del dominio es una forma rápida de detectar el riesgo.

WHOIS también te muestra el nombre y el país del titular del registro. Si esta información no coincide con las afirmaciones de la compañía (como una empresa "estadounidense” con un dueño de otro país), eso es una señal de alerta.

Si WHOIS muestra "Privacidad protegida” o información genérica, esto en sí mismo no es definitivo (muchos dominios legítimos utilizan la privacidad de WHOIS de forma predeterminada), pero debe tenerse en cuenta si existen otras señales de alerta. En general, WHOIS ayuda a confirmar si el sitio web es propiedad de quien dice ser y cuánto tiempo lleva activo.

5. Lee reseñas y noticias sobre el sitio web

Mira los comentarios de los usuarios sobre ese sitio web. Busca el nombre del sitio en Internet, junto con términos como "reseñas”, "quejas” o "estafa”. Si el sitio web es muy conocido, es probable que haya foros y artículos de blogs donde se hable de él. Ten cuidado si encuentras que se mencionan hackeos, fraudes o brechas de datos. Una cadena de posts que hablan de "alerta de fraude” o comentarios negativos continuos son una potente señal de alerta.

Además, deberías prestar atención a cualquier mención de pedidos perdidos, descarga de malware o robo de datos personales. Las empresas legítimas también tienen reseñas negativas, por supuesto, pero si ves un patrón de quejas graves, eso es una señal clara que no debes pasar por alto.

Por otro lado, una reseña repleta de elogios del sitio web podría ser falsa. Los falsificadores suelen fabricar testimonios así. Un consejo de confianza es leer reseñas tanto en el sitio web como fuera de él, buscando especialmente menciones a algún fraude o robo de identidad, así como leer noticias sobre la empresa.

6. Verifica la política de privacidad y las páginas del aviso legal

Los sitios web legítimos, especialmente aquellos que manejan pagos y datos personales, normalmente tienen políticas de privacidad, términos de servicio y otras páginas de aviso legal claras. Estos documentos explican cómo se recopilan, utilizan, almacenan y comparten tus datos. En muchos lugares, como en el caso del RGPD europeo, estas políticas son obligatorias por ley. Una política de privacidad demasiado breve o inexistente es señal de que no todo es lo que parece.

Las buenas políticas de privacidad emplean un lenguaje claro y ofrecen suficientes detalles sobre cómo se recopila la información y cómo se protege. Si un sitio web carece de información sobre privacidad u ofrece un texto demasiado vago e inútil en términos prácticos, probablemente no sea un sitio de confianza.

7. Evita los sitios web con demasiadas ventanas emergentes o redirecciones

Ten cuidado con las ventanas emergentes agresivas o persistentes. Si un sitio web te inunda la pantalla con ventanas difíciles de cerrar o te redirige una y otra vez a otras páginas sin relación alguna, normalmente es señal de comportamiento malicioso. Los sitios web legítimos casi nunca utilizan un número excesivo de ventanas emergentes. Ten especial cuidado si una ventana emergente te pide algún dato personal o financiero, o si insiste en que descargues software porque tu dispositivo está en riesgo, ya que son tácticas habituales de scareware.

Del mismo modo, deberías evitar pulsar en anuncios emergentes de productos no relacionados u ofertas demasiado buenas para ser ciertas. Los sitios web seguros te dejan navegar por ellos con las interrupciones reducidas al mínimo necesario, por lo que, si ves demasiados anuncios o alertas no solicitadas, deberías cerrar la página inmediatamente.

8. Analiza el diseño y el lenguaje que utiliza

Examina la apariencia y la forma en que está escrito el texto. Las empresas profesionales normalmente tienen sitios web cuidados y coherentes. Por el contrario, las webs de estafas a menudo contienen errores delatadores: un diseño pobre, imágenes de baja resolución, enlaces que no funcionan y multitud de erratas o frases poco habituales. Por ejemplo, si estás en una página de compras y notas que el texto suena extraño o detectas errores básicos, esa es una señal clara de que el sitio web probablemente es falso.

Estas señales de alerta suelen indicar un diseño web apresurado o descuidado, algo habitual en los sitios web fraudulentos que pretenden parecer legítimos a simple vista. Confía en tus ojos y tu instinto, pero mantente alerta: con la IA, ahora a los estafadores les resulta más fácil que nunca construir sitios web falsos que resulten convincentes.

9. Investiga las opciones y la seguridad del proceso de pago

Los sitios web de confianza usan métodos de pago seguros y reconocidos; esto tiene especial importancia en las páginas de compras. Si una tienda te parece falsa o sospechosa, sal de ella inmediatamente. Comprueba que la página de pago usa HTTPS y acepta opciones de pago reconocidas como las tarjetas de crédito, ya que estas suelen ofrecer protección del comprador.

Evita los sitios web que solo aceptan pagos difíciles de rastrear, como giros bancarios, criptomonedas o tarjetas regalo, ya que estos normalmente son irreversibles. Los expertos financieros recomiendan usar tarjetas de crédito o servicios financieros con protección contra fraudes. Si la única opción de pago de un sitio web es un método imposible de rastrear, esa es una señal clara de alarma.

Si llegas a un sitio web sospechoso, comprueba que no está incluido en esta lista de 25 sitios web de compras falsos. Aunque no aparezca en la lista, mantén la precaución, ya que las tácticas de las estafas cambian continuamente.

10. Verifica los datos y la información de contacto de la empresa

Comprueba que el sitio web se identifica claramente. Los negocios legítimos proporcionan datos reales, como el nombre de la empresa, la dirección física y el número de teléfono. Busca la página "Sobre nosotros” o los datos de contacto en el pie de página. Mantente alerta si faltan los datos de contacto o están incompletos.

Lo ideal es que aparezca la dirección física (no solo un apartado de correos), un número de teléfono o chat en vivo, y una dirección de correo electrónico o formulario de contacto. Verifícalos de forma independiente: si la dirección o el número no coincide o conduce a empresas sin relación alguna, es bastante sospechoso.

11. Usa las herramientas de seguridad integradas en tu navegador

Los navegadores modernos incluyen protecciones integradas, como Navegación segura de Google en Chrome, que rastrea sitios web maliciosos. Cuando intentas visitar un sitio marcado como posiblemente peligroso, el navegador te muestra advertencias como "Sitio engañoso” o "La conexión no es privada”, y a menudo bloquea el acceso.

Mantén el navegador actualizado para asegurarte de que estas protecciones funcionan con los datos más recientes. Además, habilita el bloqueador de ventanas emergentes y desactiva las redirecciones no deseadas en los ajustes de tu navegador para disfrutar de seguridad adicional.

12. Desconfía de los sellos "de confianza” (iconos falsos)

Muchos sitios web muestran iconos como candados SSL, la frase "Pago seguro” o sellos de sitio seguro para parecer de confianza, pero la realidad es que son fáciles de copiar o falsificar. No confíes en los sellos si no puedes verificarlos. Normalmente se puede pulsar sobre los sellos reales y te llevan al organismo certificador. Si no puedes pulsar en los sellos, no llevan a ninguna parte o son imágenes de baja calidad, desconfía.

13. Instala herramientas de protección web en tiempo real

Las herramientas de protección web como la Protección avanzada de ExpressVPN pueden bloquear sitios web maliciosos para protegerte contra el spyware y los dominios de phishing. La protección avanzada también impide que las apps y sitios web a los que accedes en tu dispositivo contacten con terceros conocidos por sus actividades dañinas o de rastreo.

Probablemente también querrás invertir en un buen antivirus con protección en tiempo real para aumentar tu protección contra las descargas de malware. Para estar a salvo, mantén tu antivirus actualizado y ejecuta análisis periódicos.

La protección activa puede detener descargas no autorizadas o ataques de phishing que sortean tus controles iniciales. En pocas palabras: usar una defensa de varias capas reduce significativamente el riesgo de visitar sitios web dañinos.

Cómo actuar si crees que un sitio web no es seguro

La prevención es la mejor defensa. Si aún no te has cruzado con un sitio web peligroso, conviene que aprendas hábitos de navegación segura (esta guía ofrece consejos prácticos para que te mantengas a salvo). Pero si llegas a un sitio web sospechoso, los siguientes pasos te ayudarán a responder de forma adecuada y minimizar el posible daño.

Pasos para salir con seguridad

Si llegas por error a un sitio web sospechoso, sigue estos pasos para abandonarlo sin poner más en riesgo tu equipo.

1. Corta Internet: Desconecta tu dispositivo de la red apagando el wifi o desenchufando el cable Ethernet. Así impides que el sitio web cargue más contenido dañino o te envíe datos mientras lo cierras con seguridad.
   
2. Cierra la pestaña inmediatamente: No pulses en botones o en mensajes emergentes aunque ponga "Cerrar” o "Cancelar”. Puede ser un truco para hacerte descargar algo o llevarte a un sitio con contenido dañino.
   
3. Fuerza el cierre de tu navegador: Si el sitio web te bloquea la pantalla o muestra alertas sin parar, fuerza el cierre del navegador para detenerlo. En Windows, pulsa Ctrl + Shift + Esc para abrir el Task Manager (Administrador de tareas) y a continuación cierra la tarea del navegador. En Mac, pulsa Command + Option + Esc, selecciona el navegador y haz clic en Force Quit (Forzar salida). Esto cerrará inmediatamente la sesión y detendrá la página maliciosa.
   
4. Evita usar la opción Restaurar pestañas: Cuando reabras el navegador, te preguntará si quieres restaurar la última sesión. Escoge "X” porque si no podrías volver a cargar la misma página no segura que acabas de cerrar y volverías a exponerte a los mismos riesgos.
   
5. Borra la caché y las cookies de tu navegador: Pueden contener scripts de rastreo o datos de sesión dejados por el sitio web. Eliminarlas ayuda a interrumpir las conexiones persistentes y mejora tu privacidad después de visitar una página no segura.
   

Después de conseguir salir de la página, lo ideal es ejecutar un análisis de malware con el antivirus. Incluso una breve exposición a una página maliciosa puede activar descargas en segundo plano, por lo que un análisis del sistema ayuda a detectar y eliminar posibles amenazas de forma temprana.

Cómo reportar un sitio web malicioso

Reportar los sitios web maliciosos ayuda a proteger a otros y contribuye al esfuerzo general de acabar con las estafas y el malware. Puedes empezar utilizando las herramientas de notificación integradas en tu navegador; la mayoría de los navegadores más importantes incluyen esta función. En Chrome, por ejemplo, haz clic en los tres puntos (⋮), después ve a Help (Ayuda) y selecciona Report an issue (Notificar un error).

También puedes informar sobre sitios maliciosos a tu proveedor de antivirus, especialmente si tu software de seguridad no ha detectado la amenaza. Para obtener pasos más detallados, consulta esta guía sobre cómo reportar un sitio web y ayuda a que Internet sea más seguro para todos.

Cómo proteger tus datos y tu dispositivo después de quedar expuestos

Si sospechas que has visitado un sitio web no seguro o, peor aún, has introducido información personal o has descargado un archivo, actúa rápidamente:

• Ejecuta un análisis antivirus y antimalware: Usa un software de seguridad para comprobar si hay malware, spyware o keyloggers.
• Cambia las contraseñas inmediatamente: Comienza por cualquier cuenta a la que hayas accedido mientras el sitio web estaba abierto (correo electrónico, banca o cualquier credencial reutilizada).
• Activa la autenticación de dos factores (2FA): Úsalo siempre que sea posible para evitar el acceso no autorizado a cuentas importantes.
• Revisa cuentas bancarias y tarjetas de crédito: Comprueba si hay cargos sospechosos, especialmente si has introducido datos de pago.
• Comprueba tus extensiones de navegador: Algunos sitios poco seguros pueden intentar engañarte para que instales addons maliciosos. Elimina todo lo desconocido.

Además, si has introducido información personal, considera la posibilidad de activar una alerta de fraude o un bloqueo de crédito a través de una entidad de crédito para evitar el robo de identidad. Aunque no suceda nada malo inmediatamente después, lo inteligente es tomar estas precauciones: algunos intentos de phishing o malware posponen su ataque, por lo que mantener una actitud proactiva ayuda a limitar riesgos a largo plazo.