Herramientas forenses gratuitas
Detector de URL phishing
Comprueba un enlace sospechoso antes de hacer click. Análisis local, sin enviar la URL a ningún servidor.
Qué comprobamos
Typosquatting contra bancos ES (Santander, BBVA, CaixaBank, Sabadell), Hacienda, Correos, Amazon y grandes plataformas. Decodificamos IDN/Punycode, detectamos IPs literales, TLDs abusados (.tk, .gq...), subdominios excesivos, acortadores y palabras sensibles en la ruta.
Qué NO hacemos
No consultamos listas externas (Google Safe Browsing, VirusTotal) porque eso implicaría enviar tu URL a un tercero. Si quieres ese tipo de chequeo, los navegadores Chrome/Firefox ya lo hacen por debajo, o puedes usar virustotal.com manualmente.
Privacidad
Toda la lógica de análisis se ejecuta en JavaScript dentro de tu navegador. No hay petición HTTP que contenga la URL que pegues. Comprobable abriendo la pestaña Red de DevTools (F12).
¿Te ha llegado un email o SMS sospechoso?
Antes de borrarlo, conserva el original. Si has caído en el engaño, la cabecera del email y el SMS son evidencia clave para denunciar.
Por qué construí este detector
Soy Jonathan Izquierdo, perito informático forense en Jaén. La inmensa mayoría de casos de fraude online que llegan a mi mesa empiezan igual: la víctima recibió un mensaje, hizo click en un enlace, y de ahí en adelante todo se complicó. La pregunta clave que nadie le hizo a tiempo era simple: ¿este enlace tiene aspecto de phishing? Cinco segundos de análisis pueden ahorrar miles de euros.
La industria del phishing es más sofisticada que nunca: typosquatting con caracteres unicode, kits que generan dominios automáticamente en TLDs baratos, acortadores que encadenan tres redirects, plantillas convincentes copiadas píxel a píxel del banco real. Pero las URLs siguen dejando huella: el dominio, el path, las palabras concretas. Esta herramienta hace en tu navegador lo mismo que yo hago mentalmente cuando un cliente me pasa un enlace para que lo evalúe.
Importante: la herramienta es heurística. Una URL bien construida puede no disparar ninguna alerta y aun así ser maliciosa. Los criminales también leen este tipo de checklists. Si tu instinto te dice que algo no encaja, hazle caso aunque el score salga "bajo riesgo".
Preguntas frecuentes
¿Qué es el phishing?
Phishing es el envío de mensajes (email, SMS, WhatsApp) que suplantan a una entidad legítima — tu banco, Hacienda, Correos, Amazon — para conseguir que entregues datos sensibles (credenciales, tarjeta) o instales malware. La URL maliciosa suele estar disfrazada para parecer la oficial: cambia una letra del dominio, usa un subdominio largo, mete caracteres unicode parecidos, o acorta la URL para ocultar el destino.
¿Qué hace exactamente este detector?
Aplica una serie de checks heurísticos sobre la URL que pegues: comprueba si el dominio se parece sospechosamente a marcas conocidas (typosquatting), si usa caracteres Unicode codificados (IDN/Punycode), si lleva una IP en lugar de un dominio, si el TLD es de los que aparecen mucho en kits de phishing (.tk, .gq, .top...), si tiene demasiados subdominios, si es un acortador, si lleva palabras sensibles en la ruta y si abusa de la codificación URL. Cada señal suma puntos a un score final.
¿La URL se envía a algún servicio externo (Google Safe Browsing, VirusTotal)?
No. Esta herramienta hace análisis 100% local en tu navegador. No consulta listas de URLs maliciosas conocidas porque eso requeriría enviar la URL a un servidor externo. Si quieres ese tipo de comprobación, Google Safe Browsing está integrado en Chrome y Firefox por defecto, y VirusTotal ofrece consulta manual en virustotal.com (allí sí estás enviando la URL a sus servidores).
¿"Bajo riesgo" significa que el enlace es seguro?
No exactamente. Significa que la URL no tropieza con los patrones que comprobamos. Una página de phishing recién creada con un dominio bien elegido podría pasar todos los checks y aun así ser maliciosa. Verifica siempre el dominio de forma independiente: escríbelo TÚ en el navegador desde cero, busca el sitio oficial en Google, no hagas click en enlaces de mensajes no solicitados.
¿Por qué no podéis seguir el redirect de un acortador?
Para resolver un bit.ly/tinyurl/etc. tendríamos que hacer una petición HTTP desde nuestros servidores (CORS no permite hacerlo directamente desde el navegador). Eso implicaría enviarte la URL a nosotros, lo cual rompería la promesa de que no sale de tu dispositivo. Si necesitas saber a dónde redirige un enlace acortado, usa unshorten.it o similar — pero ten en cuenta que esos servicios SÍ ven tu URL.
¿Qué hago si he hecho click y dado mis datos en un enlace de phishing?
Actúa rápido: (1) Cambia inmediatamente las contraseñas de la cuenta afectada y de cualquier otra que use la misma o similar. (2) Activa la verificación en dos pasos donde se pueda. (3) Si introdujiste datos bancarios, llama al teléfono oficial de tu banco (no al del email/SMS) y bloquea la tarjeta. (4) Conserva los emails/SMS/WhatsApps originales SIN BORRAR — son evidencia. (5) Denuncia ante la Policía Nacional / Guardia Civil. Si necesitas un informe pericial forense para tu denuncia o reclamación, podemos ayudarte.
¿Qué es typosquatting?
Es registrar dominios muy parecidos a marcas legítimas para engañar al usuario que se equivoca al escribir o no presta atención. Ejemplos: paypa1.com (con un 1 en lugar de la l), santader.es (sin la n), amaz0n.com (con cero), bbva-segura.com (subdominio falso). Esta herramienta usa la distancia de Levenshtein contra una lista de marcas frecuentes en España para detectarlo.
¿Es válido como prueba pericial?
Como evaluación rápida sí, pero para procedimiento judicial necesitas más: captura forense de la página de destino con herramientas reproducibles (single-file con cookies si requiere autenticación), análisis de cabeceras HTTP, registro de redirects, geolocalización de IPs intermedias, hash SHA-256 del contenido capturado. Todo eso lo aporta un informe pericial forense — esta web es un primer paso de despistaje.
¿Has sido víctima de un fraude online?
Análisis pericial forense para tu denuncia o reclamación bancaria: trazabilidad de URLs, cabeceras de email, malware si lo hubo, cadena de custodia documentada.
