¿Quieres hacer enojar a tu departamento de TI? ¿Tus enlaces no parecen lo bastante maliciosos?

 (phishyurl.com)
1 puntos por GN⁺ 2025-09-19 | 1 comentarios | Compartir por WhatsApp
  • Esta herramienta ofrece la función de convertir cualquier URL para que parezca maliciosa
  • A diferencia de TinyURL, en lugar de acortarla la vuelve más sospechosa
  • El enlace ingresado en realidad lleva a la dirección original mediante un redireccionamiento web
  • El enlace de phishing generado solo parece inquietante por fuera y no realiza ninguna otra acción maliciosa
  • Si el usuario pega un enlace en el campo de entrada y pulsa el botón, puede obtener un enlace que "parece peligroso"

Introducción y funciones principales

Esta herramienta es un sitio que, cuando el usuario ingresa la dirección de un sitio web que desea, la transforma para que parezca sospechosa, como si fuera un enlace de phishing

  • El funcionamiento es similar al de TinyURL, un servicio representativo de transformación de enlaces, pero el resultado no es un enlace más corto sino uno con apariencia riesgosa
  • El principio es un simple redirect, por lo que incluso si se hace clic en el enlace resultante, solo lleva a la dirección original ingresada
  • Si colocas un enlace en el campo provisto y presionas el botón, obtienes al instante un enlace de phishing visual diseñado para generar inquietud
  • El enlace generado no contiene malware real y solo parece sospechoso de forma visual

Casos de uso y precauciones

  • Aunque el enlace en sí es seguro, usar esta herramienta dentro de una empresa u organización puede provocar confusión en el departamento de TI
  • Puede usarse en capacitaciones de respuesta al phishing, pruebas de ingeniería social y situaciones donde se quiera experimentar cuánto influye la apariencia de un enlace en la confianza
  • Según las normas o políticas de seguridad de la empresa, antes de usarla de verdad es necesario confirmar si está permitido hacerlo

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-19
Comentarios de Hacker News

  • ¡Ja! Yo pensé algo parecido. En nuestra empresa hay una cosa que hace que incluso los enlaces legítimos parezcan enlaces maliciosos. Creo que se llama Microsoft Safelink. Su propósito es ocultar todos los enlaces en la bandeja de entrada de Outlook, de modo que al hacer clic no sepas qué es. Al final uno termina haciendo el chiste de que a nadie lo despiden por comprar Microsoft

    • Hace unos meses, hubo una vez en que los servidores de Microsoft se cayeron o estaban realmente lentos, y entonces ningún enlace de los correos funcionaba
    • Totalmente identificable. ProofPoint también filtra los enlaces de forma parecida

  • Esto no está nada mal
    https://carnalflicks.online/var/lib/systemd/coredump/logging...

    • La verdad, esperaba que pasara algo así[1]. Supongo que en HN no se ve mucho este tipo de cosas
      1: https://pc-helper.xyz/scanner-snatcher/session-snatcher/cred...
    • No sé por qué, pero cuando estás hasta arriba de la página, hacer clic en enlaces así se siente extrañamente satisfactorio
    • Por alguna razón se ve sospechoso; NoScript me muestra una alerta de XSS <_<

  • Esto sirve bien para correr un bucle infinito
    https://gonephishing.me/shell-jacker/shell-jacker/worm_launc...

  • Toda esta conversación me recuerda una situación ridícula en una empresa donde trabajé hace tiempo. La empresa insistía mucho en que los empleados pasaran el cursor sobre los enlaces para verificar si eran del sitio web oficial del remitente. Pero la gente igual seguía cayendo en enlaces de phishing, así que implementaron un dispositivo de Trend Micro para escanear los correos y reescribir en masa todos los enlaces a través de su servicio de escaneo de URLs. Entonces todos los enlaces se veían como https://ca-1234.check.trendmicro.com/?url=...;. A partir de ahí, ya no se podía hacer clic en ningún enlace dentro del correo en la empresa. Claro, como el reescrito de URLs hacía que bastantes enlaces dejaran de funcionar, cuando llegaba una alerta de incidente por la mañana había que prender la laptop, iniciar sesión manualmente en Pagerduty o Sentry, y volver a buscar en el correo los detalles del incidente

    • Yo tuve la experiencia divertida opuesta. Cuando trabajaba antes en Global MegaCorp, la empresa enviaba a veces correos de phishing a propósito como entrenamiento, y si hacías clic en el enlace quedaba registrado, así que si caías dos o tres veces te tocaba repetir la capacitación de inmediato. Al final, todos aprendieron a no hacer clic en los enlaces de los correos. Fue efectivo. Pero luego, cuando mandaron el correo de la encuesta anual a todos los empleados, nadie hizo clic en el enlace, así que tuvieron que enviar otro correo adicional diciendo "este correo de la encuesta sí es real, pueden hacer clic"
    • Hace poco recibí un correo en mi cuenta personal de AWS avisando que, en adelante, las facturas llegarían desde "no-reply@tax-and-invoicing.us-east-1.amazonaws.com", y que debía cambiar mis reglas automáticas de procesamiento de facturas a esa dirección. Fue algo bastante tonto. Si yo viera un correo con un remitente así, también asumiría enseguida que es spam o phishing. Al final AWS retiró esa política. Para referencia, normalmente los correos llegan desde direcciones que se ven más oficiales, como "no-reply-aws@amazon.com" o "aws-marketing-email-replies@amazon.com"

  • También podrías simplemente reportar los correos obligatorios de compliance como intentos de phishing. He trabajado en varias grandes empresas, y los correos anuales de verificación de seguridad de TI normalmente se parecen a correos dañinos: formato raro, origen en una url externa sospechosa, solicitud de acción urgente, advertencias de castigo por incumplimiento, etc. Se gasta tanto dinero en capacitación y, al final, solo se insensibiliza a los usuarios frente a las amenazas

    • Si el encabezado del correo tiene X-PHISH, hasta estaría bien agregar una regla para eso

  • Creo que para llevar a alguien al sitio web, en realidad habría que usar una URL que se vea todavía más maliciosa
    https://pc-helper.xyz/root-exploit/virus_loader_tool.exe?id=...

  • La forma realmente maliciosa sería usar una especie de psicología inversa

  1. Crear un sitio así
  2. Dejar que la gente pruebe poniendo URLs de sitios importantes como su banco, redes sociales o correo electrónico
  3. Hacer que funcione normalmente por un rato y después redirigir discretamente a los visitantes a sitios de phishing relacionados
  4. Como los usuarios ya se habrían acostumbrado a ignorar las advertencias "obviamente falsas", podrían bajar la guardia en una situación de peligro real

  • Yo lo probé con mi propio nombre de dominio, y
    https://cheap-bitcoin.online me devolvió un enlace con ese dominio. Luego envié esa URL a VirusTotal y salía clasificada como malware por un motor. Fue graciosísimo, una experiencia realmente divertida

  • ¡Genial! Estaría bueno que el enlace generado también incluyera en alguna parte safelinks.protection.outlook

  • Yo registré el dominio "very-secure-no-viruses.email" y lo uso como correo temporal. Lo hice sonar lo más sospechoso posible a propósito. Pero por eso muchas veces se vuelve confusa la comunicación con soporte

    • Yo uso la dirección firstname@lastname.email, y la gente insiste en decirme que está mal, como si no pudiera ser porque no es email.com