🔗
MÓDULO 05 · BLOQUE 1 — ENGAÑO

URL Spoofing y QR Maliciosos

Los atacantes crean URLs que parecen legítimas pero llevan a sitios fraudulentos. También los códigos QR pueden llevar a webs peligrosas sin que lo sepas.

🎯 JUEGO: ¿CUÁL ES LA URL LEGÍTIMA?

🔍 TÉCNICAS DE FALSIFICACIÓN DE URLs

TÉCNICA
Subdominio engañoso
FALSA: paypal.com.login-secure.net
REAL: paypal.com
El dominio real es login-secure.net, no paypal.com
TÉCNICA
Typosquatting
FALSA: paypa1.com (con el número 1)
REAL: paypal.com
Han reemplazado la "l" por el número "1", difícil de ver en móvil
TÉCNICA
Homógrafo Unicode
FALSA: pаypal.com (а cirílica)
REAL: paypal.com
La "а" es el carácter cirílico U+0430, visualmente idéntico
TÉCNICA
Guion extra
FALSA: face-book.com
REAL: facebook.com
Facebook nunca usa guiones en su dominio
TÉCNICA
Dominio similar
FALSA: netfl1x-premium.com
REAL: netflix.com
Combinan typo + palabra extra para confundir
TÉCNICA
URL acortada
FALSA: bit.ly/3xAbCdE
REAL: amazon.es/producto/...
Las URLs acortadas ocultan completamente el destino real

📷 PELIGRO: QR MALICIOSOS (QRishing)

Escenarios de QR malicioso
🅿️
Parquímetro falso
Un adhesivo con QR falso pegado sobre el oficial. En vez de pagar el parking, vas a una web que roba tu tarjeta.
🍽️
Carta de restaurante
El QR de la carta lleva a una web que descarga malware al escanear. Muy difícil de detectar a simple vista.
📧
Email corporativo
QR en un email de "RR.HH." que lleva a una página de login falsa de Microsoft 365 para robar credenciales empresariales.
⚠️ Antes de escanear un QR: Verifica que el adhesivo no esté pegado encima de otro. Usa un lector QR que muestre la URL ANTES de abrirla.