- 1Password estrena una función antiphishing que compara la URL real con la asociada a cada inicio de sesión guardado.
- Si la dirección no coincide, bloquea el autocompletado y lanza una advertencia cuando el usuario intenta pegar sus credenciales.
- La protección llega activada por defecto a planes individuales y familiares, y los administradores pueden habilitarla en cuentas de empresa.
- La medida busca frenar ataques que usan dominios casi idénticos, en un contexto de auge del phishing apoyado en inteligencia artificial.
El phishing y señales para detectarlo se ha convertido en uno de los quebraderos de cabeza más serios en Internet: correos, SMS y páginas que parecen totalmente legítimos, pero cuyo único objetivo es robar contraseñas y datos personales. Cada vez cuesta más distinguir a simple vista qué es real y qué es un intento de engaño, y ahí es donde los gestores de contraseñas tienen un papel clave.
Dentro de este contexto, 1Password, uno de los administradores de contraseñas más conocidos, ha dado un paso más con una función específica contra el phishing integrada en sus apps y extensiones de navegador. La idea es sencilla, pero importante: impedir que el usuario entregue sin querer sus credenciales en páginas que no son las auténticas, sobre todo ahora que la inteligencia artificial facilita la creación de copias casi perfectas de webs y mensajes.
Cómo intenta frenar el phishing la nueva función de 1Password
La novedad se apoya en algo que los gestores de contraseñas ya hacían, pero dándole una vuelta de tuerca orientada al phishing. Cada vez que guardas un inicio de sesión en 1Password, ese usuario y contraseña quedan asociados a una URL concreta (el dominio donde se utilizan normalmente esas credenciales). A partir de ahí, cuando vuelves a esa web, la extensión del navegador reconoce la dirección y propone autocompletar.
El problema aparece cuando aterrizas en una página que parece idéntica a la de tu banco, tu correo o una tienda online, pero cuyo dominio no coincide exactamente con el que tienes guardado. Hasta ahora, 1Password simplemente se negaba a rellenar los datos de manera automática, sin dar demasiadas explicaciones. Muchos usuarios, al ver que no se completaba nada, optaban por copiar y pegar la contraseña, abriendo sin querer la puerta al fraude.
Con la nueva protección, ese comportamiento cambia: si el URL actual no está vinculado al inicio de sesión guardado, 1Password no solo bloquea el autocompletado, sino que además interviene cuando intentas pegar tus credenciales. Es en ese momento cuando entra en juego una ventana emergente de advertencia que actúa como freno y te invita a revisar mejor dónde estás entrando.
En la práctica, el gestor se convierte en una especie de “segundo par de ojos” para revisar la barra de direcciones. El sistema está diseñado precisamente para situaciones en las que caes en un enlace de un correo, un anuncio o un mensaje que te lleva a un sitio casi idéntico al original, pero con una pequeña variación en el dominio.
Advertencias emergentes: qué mensaje verás y qué implica
Cuando la extensión de 1Password detecta que estás intentando utilizar unas credenciales guardadas en un sitio que no reconoce, se activa la nueva capa de defensa. El primer paso es que no se ofrece el autocompletado normal en la página sospechosa, lo que ya evita muchos errores por puro piloto automático.
El segundo paso llega si decides copiar usuario y contraseña desde 1Password para pegarlos manualmente en el formulario. En ese momento, aparece una notificación emergente que indica que «este sitio web en el que estás no está vinculado a un inicio de sesión en 1Password» y te pide que te asegures de confiar en la página antes de seguir adelante. Esta advertencia no bloquea del todo la acción, pero te obliga a hacer una pausa y pensar si la web es realmente la que querías visitar.
Ese pequeño alto en el camino es especialmente útil en los ataques basados en dominios engañosos, el conocido phishing de clonación (typosquatting) o secuestro de URL. Aquí los ciberdelincuentes aprovechan que leemos de forma rápida: pueden registrar direcciones como “paypa1.com”, “gogle.com” o variantes con una letra añadida o cambiada. A simple vista, y más si tienes prisa, cuesta ver la diferencia.
Con la advertencia de 1Password, el usuario tiene una oportunidad extra para fijarse en detalles que suelen pasar desapercibidos: URL extraña, imágenes de mala calidad, faltas de ortografía en el nombre de la empresa o métodos de pago poco habituales, como solo transferencia bancaria. No es una solución mágica, pero añade una capa de fricción justo antes de cometer el error de entregar tus credenciales.
Según explica la compañía, esta lógica se integra tanto en las extensiones de navegador como en sus aplicaciones, y se apoya en las protecciones que ya existían (como la coincidencia de dominio para el autocompletado) para cubrir el hueco que quedaba cuando el usuario recurría al clásico copiar y pegar.
Un problema creciente: phishing masivo y apoyo de la inteligencia artificial
La decisión de 1Password no llega por casualidad. El phishing lleva años siendo una de las técnicas favoritas de los atacantes, pero la situación se ha complicado con la expansión de la inteligencia artificial generativa. Hoy es relativamente sencillo producir mensajes, correos y páginas de inicio de sesión que imitan a la perfección el estilo de un banco, una administración pública o una plataforma de streaming.
En un estudio reciente realizado por 1Password en Estados Unidos, recogido en su informe “State of Phishing 2026”, se concluye que el 89% de los encuestados ha recibido al menos un intento de phishing, y que un 61% reconoce haber caído en alguno de ellos. Las cifras dan una idea de hasta qué punto estas estafas son ya algo cotidiano, también para usuarios que consideran que “controlan” Internet.
Otros informes, citados por empresas como IBM, apuntan al fuerte impacto económico en el ámbito corporativo: una campaña de phishing exitosa puede suponer de media unos 4,8 millones de dólares de coste para una organización, entre fraudes directos, interrupciones de la actividad y esfuerzo de recuperación.
El canal principal sigue siendo el correo electrónico, que concentra alrededor del 45% de los ataques según datos de 1Password. Muy cerca aparecen los SMS o mensajes tipo “smishing” (41%), seguidos de las redes sociales (38%). Por detrás quedan las llamadas telefónicas (28%) y los anuncios o resultados manipulados en buscadores (26%), que redirigen a páginas falsas que copian a servicios muy conocidos.
En Europa y en España, el patrón es similar: bancos, compañías de logística, servicios públicos o tiendas online son algunos de los ganchos habituales. La combinación de mensajes cada vez más convincentes y usuarios que confían en que “su” gestor de contraseñas rellene todo sin pensarlo demasiado genera un escenario donde una pequeña alerta contextual puede marcar la diferencia.
Dónde se activa y cómo se configura la protección antiphishing
La nueva herramienta de 1Password se está desplegando de manera gradual desde el 22 de enero, y la compañía ha confirmado que tardará un tiempo en llegar a todos los usuarios. Este tipo de lanzamiento escalonado es habitual en funciones de seguridad, ya que permite corregir falsos positivos y ajustar el comportamiento antes de que esté disponible de forma masiva.
En los planes individuales y en las suscripciones familiares, la protección contra phishing se activa de serie. Es decir, no hace falta entrar a tocar ajustes para beneficiarse de ella cuando llegue a tu cuenta. Esto es relevante porque la mayoría de usuarios no suele dedicar tiempo a revisar opciones avanzadas de seguridad, y dejar la función encendida por defecto incrementa su alcance real.
En el caso de los planes empresariales y cuentas de negocio, la cosa cambia: la nueva capa antiphishing debe habilitarse desde la consola de administración por parte de los equipos de TI. A través de las políticas de autenticación, los responsables de seguridad pueden decidir si la activan para toda la organización o de forma progresiva por departamentos, algo importante en entornos con muchos subdominios internos o integraciones específicas.
Para los usuarios que quieran comprobar la configuración, 1Password permite gestionar estas alertas desde la extensión del navegador, dentro del apartado de Configuración > Notificaciones. En esa sección se puede encontrar la opción de “Advertir sobre inicios de sesión pegados en sitios web no vinculados”, que activa la aparición de las ventanas emergentes cuando se intenta pegar una contraseña en una página no asociada.
Este enfoque mixto —automático para particulares y gestionado en empresas— busca equilibrar la facilidad de uso con la necesidad de coordinar políticas de seguridad en entornos corporativos, donde un cambio brusco puede traducirse en incidencias, tickets y pérdida de productividad si no se comunica bien.
Ventajas y límites: por qué ayuda, pero no lo soluciona todo
1Password es claro al presentar esta novedad como una capa adicional, no como un escudo perfecto. La protección funciona mientras el usuario se deje guiar por las alertas: si decide ignorar la advertencia y seguir adelante, nada impide escribir la contraseña a mano o pegarla igualmente en el formulario sospechoso.
No se trata tanto de evitar las decisiones conscientes de riesgo, sino de reducir los errores que se producen por rutina, prisas o cansancio. Muchos incidentes no se dan porque la persona quiera saltarse las normas, sino porque hace clic demasiado rápido, no mira bien la URL o da por hecho que “si el gestor se abre, será que todo está bien”. Introducir una pausa obligatoria justo en ese punto puede evitar más de un susto.
También hay que tener en cuenta situaciones legítimas donde las direcciones pueden no coincidir exactamente. Por ejemplo, servicios que usan subdominios diferentes para la web principal y para el área de cliente, aplicaciones de streaming con páginas de acceso separadas para móvil y escritorio, o empresas que cambian de dominio tras una migración. En estos casos, es posible que la advertencia se muestre aunque no haya ningún ataque detrás.
De ahí que 1Password opte por un mensaje informativo en lugar de un bloqueo total: la idea es que el usuario se pregunte si el cambio tiene sentido (porque conoce el contexto) o si, por el contrario, no recuerda haber usado nunca esa dirección para entrar en el servicio. Con el tiempo y un uso continuado, las nuevas URL legítimas pueden ir quedando bien asociadas en el gestor, reduciendo la frecuencia de avisos.
En paralelo, la compañía insiste en que esta herramienta debe verse como parte de una estrategia de ciberseguridad más amplia. Igual que un antivirus no puede detectar todos los engaños de ingeniería social, un gestor de contraseñas tampoco puede cubrir todos los frentes si el usuario no pone de su parte con prácticas básicas de higiene digital.
Buenas prácticas para usuarios en España y Europa
Más allá de esta novedad concreta de 1Password, la protección frente al phishing pasa por combinar herramientas técnicas y sentido común. En el día a día, es recomendable sospechar siempre de enlaces que llegan por correo, SMS o redes sociales, aunque parezcan proceder de entidades conocidas como bancos, empresas de mensajería o administraciones públicas.
Una medida sencilla es no acceder nunca a tu banco o a servicios sensibles desde enlaces incluidos en mensajes no solicitados. Lo preferible es escribir directamente la dirección en el navegador o utilizar accesos guardados previamente. Si al hacerlo el gestor de contraseñas reconoce el dominio y ofrece autocompletar, es mucho más probable que estés en el sitio correcto.
Otra barrera eficaz es activar la autenticación en dos pasos (2FA) siempre que sea posible. De esta forma, aunque una contraseña acabe en manos equivocadas, el atacante tendrá más difícil completar el acceso sin el código adicional enviado al móvil o generado en una app específica. Esto es especialmente importante en cuentas bancarias, correo electrónico, redes sociales y tiendas online.
También conviene mantener los dispositivos actualizados, utilizar un software antivirus fiable y, cuando sea necesario, apoyarse en una VPN de confianza, sobre todo al conectarse desde redes Wi‑Fi públicas. Cada una de estas capas no es perfecta por sí sola, pero juntas reducen notablemente la probabilidad de que un ataque prospere.
En el entorno empresarial europeo, la formación de los empleados sigue siendo un punto crítico. Voces del sector, como responsables de seguridad de 1Password, recuerdan que la comunicación interna es clave: ante un mensaje dudoso, lo ideal es consultar con el equipo de TI o con un compañero antes de hacer clic. Muchos incidentes se han evitado simplemente porque alguien se ha tomado la molestia de preguntar “¿esto te suena bien?” antes de responder a un correo sospechoso.
En un escenario donde el phishing se apoya cada vez más en la inteligencia artificial y en dominios casi indistinguibles de los auténticos, la decisión de 1Password de avisar explícitamente cuando una URL no coincide con el inicio de sesión guardado encaja bastante bien con lo que piden los expertos: menos confianza ciega y más señales claras en el momento preciso. No elimina la necesidad de estar atentos ni sustituye a otras medidas como la autenticación en dos pasos, pero sí añade un recordatorio útil en ese segundo decisivo en el que solemos actuar por costumbre más que por reflexión.
