{"id":29038,"date":"2023-08-07T10:57:24","date_gmt":"2023-08-07T08:57:24","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=29038"},"modified":"2023-08-08T10:13:41","modified_gmt":"2023-08-08T08:13:41","slug":"lookalike-domains-in-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/lookalike-domains-in-bec\/29038\/","title":{"rendered":"Dominios similares y c\u00f3mo detectarlos"},"content":{"rendered":"

Recibes en tu correo electr\u00f3nico del trabajo un email<\/em> que te pide que modifiques la contrase\u00f1a del mismo, que confirmes tu periodo de vacaciones o que realices una urgente transferencia de dinero solicitada por el CEO. Este tipo de inesperadas peticiones pueden ser el inicio de un ciberataque para la compa\u00f1\u00eda en la que trabajas, por lo que tienes que asegurarte de que no se trata de una estafa. \u00bfC\u00f3mo puedes, por tanto, comprobar las direcciones de correo electr\u00f3nico y los enlaces a las p\u00e1ginas web?<\/p>\n

La pieza central de una falsificaci\u00f3n es por lo general el nombre del domino; eso es, la parte siguiente al @, o el inicio del enlace. Su objetivo es que inspire confianza a la v\u00edctima. Claro, a los ciberdelincuentes les encantar\u00eda secuestrar un dominio oficial de la empresa objetivo, o de alguno de sus proveedores o socios comerciales, pero en las primeras etapas de un ataque no existe esa opci\u00f3n. En su lugar, antes de atacar, registran un dominio que sea similar al de la organizaci\u00f3n donde trabaja la v\u00edctima \u2013 y esperan que no note la diferencia. Este tipo de ataques se denomina ataques similares. El siguiente paso es alojar una p\u00e1gina web falsa en el dominio o enviar correos electr\u00f3nicos enga\u00f1osos desde los buzones asociados a \u00e9l.<\/a><\/p>\n

En este art\u00edculo vamos a explorar los diferentes trucos que utilizan los atacantes para evitar que se descubra la suplantaci\u00f3n del dominio.<\/p>\n

Homoglifos: diferentes letras, misma ortograf\u00eda<\/h2>\n

Un truco es usar una letra que visualmente sea muy similar o sea casi indistinguible. Por ejemplos, una \u201cL\u201d min\u00fascula (l) en muchas fuentes es pr\u00e1cticamente id\u00e9ntica a la letra capital \u201ci\u201d (I), por ello enviado desde el correo electr\u00f3nico JOHN@MlCROSOFT.COM enga\u00f1ar\u00eda incluso a los m\u00e1s avispados. \u00a1Por supuesto que la direcci\u00f3n real del remitente es john@mL<\/strong>crosoft.com!<\/p>\n

El n\u00famero de dobles diab\u00f3licos aument\u00f3 despu\u00e9s de que sea posible registrar dominios en diferentes idiomas, incluidos aquellos que no usan el alfabeto latino. La \u201c\u03bf\u201d griega, la \u201c\u043e\u201d rusa, y la \u201co\u201d latina son totalmente indistinguibles para el ojo humano, pero para los ojos de un ordenador se trata de tres letras distintas. Esto hace posible que sea posible registrar un gran n\u00famero de dominios que son parecidos a micros\u043eft.c\u03bfm utilizando diferentes combinaciones de letras \u201co\u201d. Esta t\u00e9cnica de incluir caracteres visualmente similares es conocida como hom\u00f3grafos o ataques homogr\u00e1ficos.<\/p>\n

Combosquatting: un poco m\u00e1s<\/h2>\n

Combosquatting se ha hecho muy popular entre los cibercriminales en los \u00faltimos a\u00f1os. Para imitar un correo electr\u00f3nico o una p\u00e1gina web de la compa\u00f1\u00eda objetivo, se crea un dominio que combina su nombre con una palabra clave relevante, como Microsoft-login.com o SkypeSupport.com. El asunto del correo electr\u00f3nico y el final del dominio deben coincidir: por ejemplo, una advertencia de acceso no autorizado a una cuenta de correo electr\u00f3nico que podr\u00eda vincular a un sitio con la alerta de Outlook de dominio.<\/p>\n

La situaci\u00f3n ha empeorado por el hecho de que las compa\u00f1\u00edas realmente tienen dominios con palabras clave. Por ejemplo, login.microsoftonline.com es un ejemplo real y leg\u00edtimo de la p\u00e1gina web de Microsoft.<\/p>\n

De acuerdo con Akamai<\/a>, la combinaci\u00f3n de combosquatting m\u00e1s habitual es utilizar combinaciones con alguna de estas palabras: support, com, login, help, secure, www, account, app, verify y service. Dos de estos \u2013 www y com \u2013 merecen una menci\u00f3n aparte. La raz\u00f3n es que se encuentran a menudo en los nombres de sitios web y es posible que un usuario distra\u00eddo no detecte el punto que falta:\u00a0 wwwmicrosoft.com, microsoftcom.au.<\/p>\n

Suplantaci\u00f3n de dominio de nivel superior<\/h2>\n

A veces, los cibercriminales logran registrar un doppelganger en un dominio de nivel superior (TLD) diferente, como microsoft.co en vez de microsoft.com, o office.pro en lugar de office.com. En este caso, el nombre de la empresa suplantada puede seguir siendo el mismo. Esta t\u00e9cnica se conoce como TLD Squatting.<\/p>\n

Una sustituci\u00f3n como esta puede ser muy efectiva. Recientemente se inform\u00f3 que, durante m\u00e1s de una d\u00e9cada, varios contratistas y socios del Departamento de Defensa de Estados Unidos han estado enviando por error correos electr\u00f3nicos al dominio .ML que pertenece a la Rep\u00fablica de Mal\u00ed en lugar de al dominio .MIL del ej\u00e9rcito estadounidense. Solo en 2023, un contratista holand\u00e9s intercept\u00f3 m\u00e1s de 117.000 correos electr\u00f3nicos<\/a> enviados por error a Mal\u00ed en lugar de al Departamento de Defensa.<\/p>\n

Typosquatting: dominios mal escritos<\/h2>\n

La manera m\u00e1s simple (y m\u00e1s temprana) de producir dominios doppelganger es explotar varios errores tipogr\u00e1ficos que sean f\u00e1ciles de hacer y dif\u00edciles de detectar. Aqu\u00ed hay varios tipos de variaci\u00f3n: a\u00f1adir o eliminar dobles (ofice.com en vez de office.com), a\u00f1adir o eliminar signos de puntuaci\u00f3n (cloud-flare o c.loudflare en lugar de cloudflare), reemplazar letras con sonido similar (savebank en vez de safebank), etc\u00e9tera.<\/p>\n

Los errores tipogr\u00e1ficos fueron por primera vez utilizados como armas por los spammers y estafadores publicitarios, pero hoy en d\u00eda estos trucos se usan junto a contenido de p\u00e1ginas webs falsas para sentar las bases del phishing y el compromiso de correo electr\u00f3nico comercial (BEC).<\/a><\/p>\n

C\u00f3mo protegerse de ataques contra dominios doppelganger y similares<\/h2>\n

Los homoglifos son los m\u00e1s dif\u00edciles de detectar y casi nunca se usan con fines leg\u00edtimos. Por ello, los desarrolladores de navegadores y, en parte, los registradores de dominio intentan defenderse de tales ataques. En algunas zonas de dominio, por ejemplo, est\u00e1 prohibido registrar nombres con letras de diferentes alfabetos. Pero en otro muchos TLDs no existe tal protecci\u00f3n, por lo que debes de confiar en las herramientas de seguridad<\/a>. <\/strong>Es cierto que muchos navegadores tienen una forma especial de mostrar los nombres de dominio que contienen una combinaci\u00f3n de diferentes alfabetos. Lo que sucede es que representan el enlace en punycode<\/a>, por lo que se parece a esto: xn--micrsoft-qbh.xn--cm-fmc<\/em> (esta es la p\u00e1gina web de microsoft.com con dos os rusas).<\/p>\n

La mejor manera de defenderse de los typosquatting y combosquatting es prestar atenci\u00f3n. Para poder hacerlo recomendamos que todos los empleados reciban formaci\u00f3n b\u00e1sica en ciberseguridad<\/a>\u00a0<\/strong>para aprender sobre las principales t\u00e9cnicas de phishing.<\/p>\n

Desafortunadamente, el arsenal de los ciberdelincuentes es amplio y no hay manera de limitar los ataques similares. Cuando uno de ellos est\u00e1 muy bien ejecutado para dirigirse a una empresa espec\u00edfica, no es suficiente con que el personal est\u00e9 atento. Por ejemplo, este a\u00f1o se han creado ataques, al clonar la puerta de enlace de la intranet de Reddit, que redirig\u00eda a sus empleados a una p\u00e1gina web falsa que compromet\u00eda la seguridad de la empresa<\/a>.\u00a0 Por lo tanto, los equipos de seguridad de la informaci\u00f3n deben pensar no solo en la capacidad de sus empleados, sino tambi\u00e9n en importantes herramientas de protecci\u00f3n:<\/p>\n