URLs y direcciones web
Una URL es la dirección completa de un recurso en internet. Saber leerla por partes te permite detectar la mayoría de los intentos de fraude antes de hacer clic. Las trampas no son sutiles: viven en el dominio, y el dominio está siempre en el mismo sitio.
- Significado
- URL viene de "Uniform Resource Locator". Es una dirección que apunta a un recurso concreto.
- Estructura
- Protocolo, dominio, ruta, parámetros opcionales y ancla opcional.
- Lo importante
- El dominio real, no la apariencia general de la dirección.
- Para detectar fraude
- Mirar lo que hay justo antes del primer
/después delhttps://.
Anatomía con un ejemplo
Toma esta dirección:
https://www.ejemplo.com/articulos/historia?lang=es#seccion-2
Cada parte significa algo distinto:
Protocolo: https:// indica que se usa una conexión cifrada. Si fuera http:// (sin la "s"), sería sin cifrar y los navegadores modernos lo marcan como no seguro. Más detalle en HTTPS y seguridad de la conexión.
Subdominio: www es un subdominio. No es obligatorio. Muchos sitios funcionan igual sin él. Otros usan subdominios para servicios distintos: correo.empresa.com, tienda.empresa.com.
Dominio: ejemplo.com. Es la parte que de verdad identifica al propietario del sitio. Se compone del nombre (ejemplo) y de un dominio de nivel superior o TLD (.com, .org, .es, .net...).
Ruta: /articulos/historia. Es lo que viene después del dominio y separado por /. Indica una ubicación dentro del sitio.
Parámetros: ?lang=es. Empiezan con ? y se separan con &. Los usan los sitios para pasar opciones (idioma, número de página, identificador de sesión).
Ancla: #seccion-2. Apunta a una parte concreta dentro de la misma página. No se envía al servidor; lo gestiona el navegador.
La regla práctica para detectar fraude
El dominio real está siempre justo antes del primer / que aparece tras https:// (o http://). Todo lo demás puede estar diseñado para confundirte.
Compara estas tres direcciones:
https://cuentas.banco.com/login — el dominio es banco.com. Legítimo, salvo prueba en contra.
https://banco.com.cuentas-seguras.es/login — el dominio es cuentas-seguras.es. "banco.com" es solo un subdominio. Esto es un patrón clásico de phishing.
https://banco.com-login.info/inicio — el dominio es com-login.info. Si añades un guion donde tendría que haber un punto, lo que parecía un dominio legítimo se convierte en otra cosa.
Lee la URL de derecha a izquierda: salta el /, ignora subdominios, identifica el TLD (.com, .org, .es) y mira lo que tiene pegado a la izquierda. Esa palabra es el sitio real.
xn-- (codificación Punycode) cuando detectan riesgo, pero no siempre. Si una dirección te llega por correo o mensaje, no la abras desde ahí: escríbela tú a mano o accede desde un marcador. Más en phishing y sitios fraudulentos.Trucos comunes en URLs falsas
Hay un repertorio relativamente fijo de patrones:
Subdominio que imita marca: paypal.security-team.com. Como acabamos de ver, paypal es solo un subdominio.
Sustitución sutil de letras: arnazon.com (con "rn" en lugar de "m"), g00gle.com (con ceros en lugar de oes), microsofl.com.
TLD inesperado: banco.com.tk, banco-online.support. La marca real está, pero el dominio termina en algo poco común.
URL acortadas: enlaces tipo bit.ly/... o tinyurl.com/... esconden el destino. No abrirlos desde fuentes desconocidas.
Caracteres especiales en la URL: el carácter @ dentro de una URL puede usarse para que la parte real esté después. https://[email protected]/ visita en realidad malo.es; los navegadores actuales suelen avisar pero no siempre.
Otros protocolos que verás
Aparte de https y http, te puedes encontrar con:
mailto: — abre tu programa de correo con un destinatario ya escrito.
tel: — en un móvil, prepara una llamada.
file:// — apunta a un archivo local en tu propio disco. Útil pero también vector de ataques: si una página intenta abrir un file:// sin que tú lo pidas, sospecha.
data: — incrusta los datos directamente en la dirección. Se usa legítimamente, pero se ha visto en estafas para mostrar contenido sin un sitio real detrás.
El acortador como capa extra
Algunos servicios y redes sociales generan enlaces acortados de forma automática (t.co en Twitter/X, lnkd.in en LinkedIn). Sirven para medir clics. No son inseguros por definición, pero ocultan a dónde vas hasta el último momento. Si tu navegador tiene una previsualización al pasar el ratón sobre el enlace, úsala antes de hacer clic.