Blog

Reveal URLs: detecta enlaces de phishing antes de hacer clic

Publicado el martes, 7 de julio de 2026 por Jeroen Derks

Resumen: Los enlaces de phishing ocultan su destino real tras un texto visible inofensivo. Reveal URLs muestra el destino real de cada enlace justo encima del enlace —en rojo cuando el host de destino no coincide con el texto del enlace—, de modo que una discrepancia resulta evidente antes de hacer clic. Las extensiones de navegador y el complemento de Thunderbird hacen todo su trabajo en tu propio dispositivo, sin transmitir nada; el complemento de Gmail (próximamente) se ejecutará en los servidores de Google. No tiene analíticas ni rastreo y es de código abierto bajo la licencia AGPL. Disponible ya en las tiendas de Chrome, Edge, Firefox y Thunderbird; los complementos de Gmail y Outlook llegarán pronto.

No puedes hacer clic con seguridad en lo que no puedes ver. Todo ataque de phishing que disfraza un enlace se apoya en el mismo punto ciego: las palabras que lees no son la dirección que visitas. El texto visible dice una cosa; el href lleva a un sitio completamente distinto. Para cuando normalmente lo descubrirías, ya has hecho clic. Y no siempre se trata de un dominio parecido y burdo: a menudo el enlace se enruta a través de un rastreador o un redireccionador, de modo que el sitio en el que acabas no tiene nada que ver con la marca que menciona el texto.

Pasar el cursor para inspeccionar una URL ayuda, pero es voluntario, fácil de omitir, incómodo en el móvil y —aun cuando lo haces— te pide leer una dirección larga y elegir la única parte que importa. Es mucho pedir para cada enlace, cada día. Reveal URLs elimina ese esfuerzo: hace visible el destino real de forma predeterminada, de modo que la discrepancia salta a la vista en lugar de esconderse.

El enlace que parece correcto pero no lo es

Considera una campaña real de 2025 contra Booking.com. El correo mostraba un enlace que decía https://admin.booking.com/hotel/hoteladmin/…, exactamente lo que un hotelero esperaría. La dirección a la que realmente apuntaba era https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/. El carácter entre "com" y "detail" no es una barra: es el carácter hiragana japonés (U+3093), que en muchas fuentes se representa de forma casi idéntica a "/". Por tanto, el dominio realmente registrado es www-account-booking.com —controlado por el atacante— y todo lo que está a su izquierda no es más que texto de subdominio maquillado para leerse como una ruta en booking.com.

Este es el caso contra el que se construyó Reveal URLs. Ver la URL es necesario, pero no siempre suficiente: también tienes que reconocer qué parte es el dominio realmente registrado. Reveal URLs pone el destino delante de ti de forma predeterminada —impreso encima del enlace y marcado en rojo en cuanto su host no coincide con el nombre que aparece en el texto del enlace—, de modo que la discrepancia hace el trabajo por ti.

Esta es la respuesta práctica, del lado del cliente, a un problema que examinamos en profundidad anteriormente: por qué la autenticación del correo frena la suplantación de dominios pero no el phishing basado en enlaces, y por qué el sector debería mostrar siempre la URL. Para el contexto completo, consulta Phishing de enlaces en el correo: por qué tu aplicación debería mostrar siempre la URL.

Ahora ya lo hace.

Qué hace Reveal URLs

Reveal URLs compara el texto visible del enlace con el href real del enlace y señala cualquier discrepancia. Para cada enlace muestra el destino real justo encima del enlace, precedido de → , dentro de un recuadro fino. Cuando el host de destino no coincide con el nombre de host que indica el texto del enlace, ese recuadro y su texto se vuelven rojos; de lo contrario permanecen en un gris oscuro neutro. La advertencia que necesitas está ahí de forma predeterminada, antes de hacer clic: sin pasar el cursor, sin pulsación larga.

Veamos un ejemplo concreto. Un mensaje contiene un enlace cuyo texto dice amazon.com, pero cuyo href apunta a https://amaz0n-secure.com/signin (un cero en lugar de la "o", en un dominio que nadie en Amazon posee). Con Reveal URLs la diferencia es inconfundible: encima del enlace aparece → https://amaz0n-secure.com/signin en un recuadro rojo, porque el host de destino amaz0n-secure.com no coincide con el amazon.com que promete el texto. Ves el engaño antes de hacer clic, sin pasar el cursor y sin conjeturas.

En la web y en Thunderbird, la WebExtension muestra el destino encima de cada enlace a medida que se renderiza la página o el mensaje. En Outlook, el mismo análisis aparece en un panel lateral. En cualquier caso, el destino es visible de forma predeterminada: nunca queda oculto tras un cursor o una pulsación larga.

Esto no es hipotético. Toma un correo de phishing real de reparto de paquetes: avisa de que un paquete está retenido hasta que se pague una tasa de aduana pendiente y ofrece un amable botón «Ir al pago» cuya etiqueta no nombra ningún destino. Reveal URLs muestra el destino real del botón justo encima de él —→ parcel-pay.custom.co.xa— de modo que la dirección que la amable etiqueta oculta queda a la vista. Ves adónde lleva el botón en realidad, y nunca tuviste que hacer clic para descubrirlo.

Cómo funciona en las distintas plataformas

Reveal URLs es una única idea ofrecida a través del mecanismo que cada plataforma permite. Por debajo, cada variante hace lo mismo: leer los enlaces, calcular adónde llevan en realidad y mostrar ese destino encima del enlace, en rojo cuando el host de destino no coincide con el texto del enlace. Dónde ocurre ese trabajo difiere según la plataforma, así que a continuación se detalla cada una.

  • Navegadores y Thunderbird (WebExtensions): en Chrome, Edge, Opera, Firefox y Thunderbird, un content script posprocesa el DOM renderizado y muestra el destino de cada enlace encima de él. Estos hacen todo su trabajo en tu propio dispositivo, sin transmitir nada.
  • Gmail (próximamente): un complemento de Google Apps Script mostrará el mismo destino encima de cada enlace dentro de la interfaz de Gmail. Como los complementos de Gmail se ejecutan en los servidores propios de Google, el mensaje abierto se leerá y se analizará allí (por Google, que ya tiene tu correo), nunca por nosotros ni por nadie más.
  • Outlook (próximamente): un complemento de Office.js mostrará el análisis en un panel lateral. Su interfaz se carga desde Codeberg Pages sobre HTTPS, pero el análisis del enlace en sí se ejecuta localmente sobre el mensaje que tienes delante: no se envía a ningún sitio ningún dato del correo ni del mensaje.
  • Safari: previsto.

Reveal URLs incluye soporte integrado para los proveedores a través de los que más se suplanta a la gente —Gmail, Outlook y Proton Mail— y la lista de hosts es ampliable por el usuario desde la página de opciones, de modo que puedes añadir el correo web y los sitios que usas. La interfaz está traducida a muchos idiomas.

Ver el destino real antes de hacer clic

Reveal URLs en un correo de phishing fraudulento que suplanta a Correos: justo encima del botón «Ir al pago», Reveal URLs muestra el destino real → https://parcel-pay.custom.co.xa/pago/ en un recuadro oscuro y neutro, dejando a la vista adónde lleva de verdad la amable etiqueta.
Reveal URLs deja al descubierto el botón «Ir al pago»: apunta a parcel-pay.custom.co.xa, no a Correos. Esta captura de pantalla muestra un correo de phishing fraudulento que suplanta a Correos. Correos no está afiliada a Reveal URLs ni lo respalda.

Privacidad y sin rastreo

Dónde hace su trabajo Reveal URLs depende de la plataforma, y es honesto respecto a la diferencia. Las extensiones de navegador y el complemento de Thunderbird hacen todo su trabajo en tu propio dispositivo, sin transmitir nada: nada sobre los mensajes que lees, los enlaces que ves o las páginas que visitas sale jamás de tu máquina. No hay analíticas, ni telemetría, ni rastreo de ningún tipo.

El complemento de Gmail (próximamente) será la excepción. Como los complementos de Gmail se ejecutan en los servidores propios de Google, el mensaje abierto se leerá y se analizará allí —por Google, que ya tiene tu correo, nunca por nosotros ni por nadie más.

Outlook (próximamente) quedará en un punto intermedio: la interfaz de usuario del complemento se sirve sobre HTTPS desde Codeberg Pages (así es como se distribuyen los complementos de Office), pero el análisis del enlace en sí sigue ejecutándose localmente sobre el mensaje que estás viendo, y no se envía a ningún sitio ningún dato del correo ni del mensaje. Una herramienta de seguridad en la que no puedes confiar es peor que ninguna, así que Reveal URLs es preciso sobre dónde hace su trabajo cada plataforma en lugar de hacer una única promesa general.

Código abierto y licencia

Reveal URLs es libre y de código abierto, publicado bajo la licencia AGPL-3.0-only. El código es un monorepo de TypeScript con pnpm, y el proyecto es © 2026 Jeroen Derks (Magentron). Al ser de código abierto, no tienes que dar por buena ninguna afirmación de privacidad por fe: puedes leer exactamente lo que hace, compilarlo tú mismo y confirmar en cada plataforma dónde se ejecuta el análisis: en tu propio dispositivo para las extensiones de navegador y Thunderbird, sin transmitir nada.

El código fuente completo se encuentra en codeberg.org/magentron/reveal-urls.

Instalar Reveal URLs

Consigue Reveal URLs

En Opera, instala la compilación de Chrome desde la Chrome Web Store; una lista dedicada para Opera llegará pronto.

Próximamente: el complemento de Gmail (Google Workspace Marketplace) y el complemento de Outlook (Microsoft AppSource).

Reveal URLs es la respuesta práctica, del lado del cliente, a un problema que defendimos en profundidad en Phishing de enlaces en el correo: por qué tu aplicación debería mostrar siempre la URL: la autenticación del correo puede demostrar quién envió un mensaje, pero no adónde llevan sus enlaces. Hasta que los clientes muestren la URL de forma predeterminada, esto cubre la brecha: libre, de código abierto y honesto sobre dónde hace su trabajo cada plataforma.

¿Quieres ayuda para reforzar la seguridad del correo o de la web de tu organización, o para construir una herramienta como esta? No dudes en ponerte en contacto.