Clicky

¿Qué es el Typosquatting y cómo lo utilizan los estafadores?

Typosquatting

Utiliza nombres de dominio modificados o mal escritos para engañar a los usuarios para que visiten sitios web fraudulentos

Un error de mecanografía y los typosquatters podrían atraparte. Puede sonar como un thriller cyberpunk, pero es una verdadera amenaza a la ciberseguridad. Te explicamos qué es y cómo protegerte.

 

¿Qué es el Typosquatting?

El Typosquatting (también conocido como URL hijacking, sting site, o fake URL) utiliza nombres de dominio modificados o mal escritos para engañar a los usuarios para que visiten sitios web fraudulentos. Los ciberdelincuentes tienen a su disposición varias técnicas de typosquatting diferentes. Por supuesto, todos benefician a los criminales y defraudan a otros. Que alguien más podría ser un visitante del sitio web o podría ser el propietario del sitio web.

En el corazón de la typosquatting está el registro de nombres de dominio. Los actores de amenazas registran nombres de dominio que están muy cerca del nombre de dominio real que están suplantando, o incorporan el nombre genuino y le agregan elementos. Si un nombre de dominio aún no está registrado, pueden registrarlo. Es así de simple.

Si se puede demostrar que el registro incorpora el nombre, producto o marca de otra empresa y es probable que engañe al público o penalice a la organización genuina, se puede impugnar la propiedad. Pero eso sucede después del registro.

El typosquatting es diferente del cybersquatting o ciberocupación. Los cybersquatters registran dominios que saben o esperan que otras organizaciones requieran en el futuro. Los nombres de dominio no están mal escritos, adaptados o engañosos. Son nombres de dominio normales para los que los cybersquatters predicen una futura necesidad.

Por ejemplo, si escuchan que un estudio está adaptando un libro para el cine, pueden registrar un dominio en el nombre del libro. Si el estudio quiere crear un sitio web para su película, encontrará que el nombre ya está registrado. Tendrán que regatear con el cybersquatter para comprarlo o emprender acciones legales.

A veces esto sucede accidentalmente. Un caso famoso involucró a un empresario llamado Uzi Nissan. En la década de 1980, tuvo varios negocios con su nombre. En 1997 registró el dominio nissan.com, para su empresa de soporte informático. Después de que Datsun cambió su nombre a Nissan, entablaron un caso contra Uzi Nissan, citando infracción de marca registrada y dilución de marca, y demandaron por $ 10 millones. La disputa legal se prolongó durante ocho años. Finalmente se resolvió en 2007, a favor de Nissan, pero pelear el caso le costó $ 3 millones. Nissan Motors utiliza actualmente el nombre de dominio nissanusa.com.

El typosquatting se clasifica como una forma de ingeniería social porque se basa en dos rasgos humanos.

Cómo funciona el Typosquatting

Un ataque de typosquatting depende de uno de dos rasgos humanos. Una es la gente que escribe mal un nombre de dominio. La otra es que las personas lean un nombre de dominio y vean lo que esperan ver.

Detectar errores tipográficos

La gente escribe mal las cosas, es fácil de hacer. Los ciberdelincuentes aprovechan eso al registrar nombres de dominio que son errores ortográficos comunes de nombres de dominio genuinos. Cada persona que escriba mal el nombre de dominio de una manera que coincida con su nombre de dominio mal escrito llegará a su sitio web, no al sitio web genuino. Los ciberdelincuentes a menudo registran una amplia gama de nombres de dominio, capturando muchas variaciones en la ortografía del nombre de dominio genuino.

Esta trampa funciona porque, a menos que la computadora rechace lo que acabas de escribir, no sabrás que has cometido un error de escritura. Si no notas que has escrito "amzon.com" en lugar de "amazon.com" y se te dirige a un sitio web que se parece a la página de destino de Amazon, es probable que creas que estás en el sitio web real de Amazon.

Hay muchas formas en que un sitio web de typosquatting puede beneficiar a los typosquatters. Puede:

Imitar una página de inicio de sesión: recopilará credenciales de inicio de sesión y otros datos personales.
Instalar extensiones maliciosas del navegador: puede instalar extensiones maliciosas como registradores de pulsaciones de teclas o programas publicitarios en tu navegador.
Descargar software malicioso: es posible que se instale en tu computadora software malicioso, como troyanos de acceso remoto o registradores de pulsaciones de teclas.
Redirigir el tráfico a los competidores: las personas pueden ser redirigidas al sitio web de un competidor.
Fraude de afiliados: el sitio web falso puede redirigir el tráfico a sitios web con los que los typosquatters tienen un acuerdo de afiliación. Los sitios web que tienen esquemas de afiliados recompensan a los socios que les envían tráfico. A los typosquatters se les paga una pequeña cantidad cada vez que redireccionan a alguien al sitio web afiliado. Registran una gran cantidad de nombres de dominio, cada uno basado en el nombre de dominio del sitio web genuino, con un error de ortografía diferente. Simplemente redirigir eso al sitio web genuino les hace ganar algo de dinero a los typosquatters.
Páginas de descarga de imitación: los sitios web de typosquatting pueden imitar sitios de descarga de software, como proyectos de código abierto. Los visitantes del sitio web descargan versiones contaminadas de bibliotecas de software y kits de herramientas para desarrolladores en lugar de las reales. Los kits de herramientas y las bibliotecas fraudulentas se utilizan en el desarrollo de los propios productos de las víctimas, convirtiéndolos en una herramienta de distribución para los troyanos, el malware y las puertas traseras de los actores de amenazas.
Promover una ideología: el sitio web de typosquatting puede presentar la organización real de una manera desfavorable, engañosa o vergonzosa. Esto se presta al hacktivismo.
Extorsión: Los typosquatters pueden ofrecer vender el nombre de dominio typosquatted al propietario del nombre de dominio genuino.

Creación de enlaces similares

La otra forma de typosquatting consiste en registrar nombres de dominio que son visualmente similares al nombre de dominio real. Estos se utilizan en enlaces en campañas de correo electrónico de phishing.

El nombre de dominio falso debe parecerse al nombre de dominio genuino, por lo que está construido con cuidado para pasar un vistazo rápido. Los tipos de trucos utilizados por los typosquatters son:

Letras mímicas: combinación de letras o dígitos para parecerse a otras letras. Si lo lees, "rnicrosoft.com" se parece a "microsoft.com" y "apqle.com" se parece a "apple.com".
Insertar caracteres extranjeros: esta es una forma más sutil de imitar letras, con el imponente nombre de los ataques homógrafos de IDN. Los caracteres como las letras griegas alfa “α” y omega “ω” son difíciles de detectar en un nombre de dominio con errores tipográficos. Si no lo sabías de antemano, estos dos enlaces probablemente no despertarían sospechas:

cloudsαvvyit.com: Eso no es una "a" en "savvy".
hoωtogeek.com: Eso no es una "w" en "how".

TLD incorrecto: el dominio de nivel superior puede estar incorrecto. Los nombres de dominio como “cloudsavvyit.org” o “cloudsavvyit.net” son convincentes porque no hay personajes divertidos y todo está escrito correctamente.
Adición de palabras: las palabras relacionadas con el contenido del sitio original se pueden utilizar para enmascarar los nombres de dominio con errores tipográficos: "technews-howtogeek.com".
Eliminación de letras: un nombre de dominio puede recortarse sutilmente para que aún parezca un nombre de dominio factible: "cloudsavvy.com". Falta el "it".
Agregar períodos: Agregar períodos para dividir el nombre de dominio es otra modificación fácil que puede no detectarse. Los enlaces suelen estar subrayados. Esto hace que sea más difícil detectar los puntos insertados: "cloud.savvyit.com".
Eliminación de períodos: registrar un sitio como "wwwhowtogeek.com" puede engañar a las personas para que hagan clic en un enlace. Tiene todos los componentes esperados, solo falta un punto.

Estos enlaces son particularmente efectivos en campañas de phishing porque pasan una de las pruebas recomendadas. A menudo se le dice al personal que coloque el puntero del mouse sobre un enlace en un correo electrónico antes de hacer clic en él. Una información sobre herramientas u otra notificación en pantalla les mostrará el destino del enlace. Si coincide con el contenido del correo electrónico y la redacción del enlace, es probable que sea de confianza.

Cómo proteger tu organización

Es posible que ya seas víctima del typosquatting. Puedes usar dnstwister.report para verificarlo.

Tu mismo puedes registrar de manera preventiva nombres de dominio de typosquatting para evitar que otros puedan usar esos nombres en tu contra.

Algunos proveedores de servicios de Internet brindan como parte de sus servicios protección frente a errores tipográficos. Si un usuario de tu organización escribe mal un nombre de dominio común o hace clic en un nombre de dominio similar en un enlace, no podrá conectarse al sitio. Una página de advertencia les dirá por qué.

Estate atento a las cifras de tráfico del sitio web. Si caen repentinamente, podría ser un indicador de que parte de tu tráfico se está desviando a un sitio con errores tipográficos.

Considera la posibilidad de configurar y ejecutar tu propio servidor de Sistema de Nombres de Dominio interno.

Los administradores de contraseñas no ofrecerán ingresar credenciales de inicio de sesión a menos que estén en el dominio genuino. Los sitios web de typosquatting no engañarán a los usuarios para que inicien sesión.

La conciencia también es una gran parte de la solución. Saber que existen estas trampas te ayuda a detectarlas, así que no olvides actualizar a tu personal.

Jesus_Caceres