Bidi Swap en URLs: Qué es ejemplo simple y cómo protegerte

BIDI Swap en URLs: la trampa que hace que un enlace parezca legítimo cuando no lo es

Por Ciberseguridad Directa — Versión para lectores: explicación simple + ejemplo seguro + cómo detectarlo (con diccionario al final).

Introducción corta

El llamado BIDI Swap (o abuso de caracteres bidireccionales) es una técnica que aprovecha caracteres Unicode de control para alterar la forma en que se muestra una URL. El resultado: un enlace puede verse legítimo, pero en realidad dirigir a un dominio controlado por un atacante. 0

Ejemplo más simple (explicación paso a paso)

Imaginá que te mandan este enlace por WhatsApp y parece inofensivo:
https://bancoargentina.com/login

Con BIDI Swap el atacante inserta un carácter de control (por ejemplo U+202E, llamado Right-to-Left Override o RLO). Ese carácter no es visible pero hace que el texto que sigue se muestre al revés. Así, la URL real podría ser: 

https://bancoargentina.com/‮ur.eduarf/login

Al mostrarse, el navegador o la app pinta la porción invertida de tal forma que visualmente la dirección parece normal y nadie nota el dominio malicioso fraude.ru (aparecido invertido como ur.eduarf). El usuario cree que entra en bancoargentina.com, pero en realidad llega a fraude.ru.

Nota: el carácter RLO es legítimo para idiomas RTL (árabe/hebreo), pero su abuso causa este engaño. 1

Por qué es peligroso

  • Permite crear enlaces de phishing muy convincentes (parecen “exactamente” la URL que esperás). 2
  • Funciona en mensajes (WhatsApp, SMS), correos y redes sociales.
  • No depende de acortadores: el atacante puede mostrar la URL completa y seguir engañando.

Cómo detectarlo (lista práctica)

  1. Copiá y pegá la URL en un editor de texto plano (Bloc de notas, TextEdit). Ahí verás la dirección real y los caracteres especiales. 3
  2. PASÁ el cursor sobre el enlace (PC): el navegador suele mostrar el destino real en la barra de estado o en la esquina inferior; revisalo antes de hacer clic.
  3. Escribí la dirección manualmente para sitios críticos (bancos, organismos, sitios de pago).
  4. Si el enlace viene por SMS/WhatsApp de un supuestamente conocido, confirmá por otra vía (llamada, mensaje) antes de ingresar credenciales.
  5. Usá herramientas como URLScan o VirusTotal para ver la URL real y redirecciones.

Medidas de mitigación (qué pueden hacer navegadores y servicios)

La comunidad de seguridad lleva tiempo trabajando mitigaciones: detectar caracteres bidi invisibles y mostrar advertencias, expulsar esos caracteres de las vistas de URL, o mostrar la URL “canónica” en un tooltip. Estas soluciones técnicas derivan del estudio académico que analizó abusos de Unicode en el código fuente (conocido como Trojan Source) y de guías de mitigación de seguridad. 4

Herramientas y recursos útiles

  • VirusTotal / URLScan — para analizar una URL y ver redirecciones.
  • Copiar/pegar en un editor de texto plano — detecta caracteres invisibles.
  • Revisar documentación Unicode sobre algoritmo bidireccional (UAX #9) para entender porqué ocurre. 5

Demostración segura (qué verás si comprobás)

Si pegás en un editor un ejemplo con RLO verás el efecto de inversión. Para pruebas, mejor usar editores que no oculten caracteres y revisar la secuencia Unicode (U+202E significa RLO). Evitá seguir enlaces sospechosos en tu navegador sin analizarlos primero. 6

Diccionario (palabras difíciles, explicadas breve)

Unicode
Es un estándar que asigna números (códigos) a caracteres y símbolos usados en textos. Permite mezclar idiomas y símbolos en un mismo documento.
Bidireccional / Bidi
Cuando un texto mezcla idiomas con lectura izquierda→derecha (ej. español) y derecha→izquierda (ej. árabe), la presentación se rige por el algoritmo bidireccional de Unicode.
RLO (U+202E) — Right-to-Left Override
Un carácter de control Unicode que obliga a que el texto posterior se muestre en orden derecho→izquierdo. Útil para idiomas RTL; peligroso si se abusa para invertir partes de una URL.
Phishing
Técnica de engaño donde un atacante finge ser una entidad legítima (banco, servicio) para robar credenciales o dinero.
Trojan Source
Nombre de un trabajo de investigación que mostró cómo caracteres Unicode pueden ocultar código malicioso en el código fuente (concepto relacionado con el abuso de bidi). 7

Conclusión — qué hacer hoy

El BIDI Swap no es un truco nuevo en su raíz (Unicode y RLO existen hace años), pero su uso en URLs para phishing está ganando tracción y merece atención. La regla práctica: si te llega un enlace que implica poner datos sensibles, no confíes solo en lo que ves; verificá la URL real. 8

Leer más en Ciberseguridad Directa

Fuentes y lecturas recomendadas

  • Trojan Source — Invisible Vulnerabilities (documento académico). 9
  • MITRE ATT&CK — Masquerading: Right-to-Left Override (RTLO). 10
  • Varonis — análisis reciente sobre BiDi Swap y riesgo de spoofing en URLs. 11
  • Unicode — UAX #9, especificación del algoritmo bidireccional. 12
  • HornetSecurity / Red Canary — advertencias prácticas sobre RLO y detección. 13

.

Apoyá mi trabajo 🙌

Si te sirven mis alertas y guías,
podés invitarme un café ☕

Invitame un café
;

Gracias por apoyar contenido independiente 💙

Comentarios

Publicar un comentario

💬 Comentá con respeto.
No publiques datos personales ni enlaces promocionales.
Los mensajes se moderan antes de publicarse.

Entradas populares de este blog

Guía completa sobre grooming

Imagen
Grooming: guía completa para padres y para que tu hijo la lea Qué vas a encontrar: definición clara, tipos de grooming, señales para detectar, pasos concretos para actuar como padre/madre o tutor, recomendaciones directas para que los menores comprendan y una lista de dónde denunciar por país. ¿Qué es el grooming? El grooming es el proceso mediante el cual un adulto se gana la confianza de una niña, niño o adolescente con el objetivo de abusar sexualmente, explotarlo o inducirlo a producir y compartir imágenes o videos de contenido sexual. Suele comenzar con un acercamiento en redes sociales, juegos, apps o chats, y termina construyendo una relación de manipulación y control. 0 Tipos y fases del grooming (explicado simple) Contacto inicial: el agresor crea un perfil falso o se hace pasar por alguien de la misma edad para iniciar la conversación. Construcción de confianza: demuestra interés, comparte supuestos sentim...
Leer más

Extensiones de Chrome robando accesos a ChatGPT en 2026

Imagen
Extensiones de Chrome abusando de enlaces de afiliados y robando accesos a ChatGPT – alerta 2026 Investigadores de seguridad alertaron en enero 2026 sobre campañas donde extensiones aparentemente inofensivas de Google Chrome insertaban enlaces de afiliados sin permiso, redirigían compras y, en casos más graves, robaban sesiones activas de servicios como ChatGPT (incluyendo chats completos y tokens de acceso). Estas extensiones se disfrazaban de bloqueadores de anuncios, conversores de archivos o utilidades de productividad con IA (sidebars para ChatGPT, Claude, etc.), pero ejecutaban código oculto para monetizar tráfico y espiar navegación. En campañas recientes acumularon más de 900.000 instalaciones antes de ser detectadas. Punto clave: no hace falta que una extensión sea un “virus clásico”. Con permisos amplios sobre las páginas web (“leer y cambiar todos los datos en los sitios que visitas”), puede observar y modificar todo lo que hacés en el navegador. Qué descu...
Leer más

Tabnabbing: Cómo roban tus claves secuestrando pestañas

Imagen
Tabnabbing: el ataque que secuestra una pestaña del navegador ¿Qué es el tabnabbing? Tabnabbing es un tipo de ataque web cuyo nombre en inglés puede traducirse como “secuestro de pestañas del navegador” . Significado: tab = pestaña  |  nabbing = robar o secuestrar. 👉 En la práctica: una página que abriste cambia cuando no la mirás y se convierte en una falsa. El objetivo es simple: que ingreses tu contraseña creyendo que estás volviendo a un sitio legítimo como Gmail, Facebook, Instagram o tu banco. Cómo funciona el ataque El escenario típico es este: Abrís una página desconocida en una pestaña nueva. La dejás en segundo plano. Minutos después, esa página cambia automáticamente. Cuando volvés, ves un supuesto “inicio de sesión”. Ingresás tu contraseña… y se la enviás al atacante. El truco está en que **la transformación ocurre cuando no estás mirando**. Por qué engaña tan bien La pestaña mantiene el...
Leer más