Blog | Digital Risk Protection | Axur

Cybersquatting: por qué monitorear dominios registrados

Escrito por TheHack | 15-oct-2019 21:10:56

En los tiempos de la transformación digital (que prácticamente exige que su marca tenga una presencia digital activa), el primer paso para quien decidió iniciar un nuevo emprendimiento parece ser un tanto obvio: crear su sitio. Usted decide el nombre de la empresa, verifica en un sitio de su preferencia y descubre que la dirección deseada está disponible. Realiza la compra y pasa, a partir de ese momento, a pagar un costo que generalmente no sobrepasa la módica suma de 200 pesos mexicanos por año (para dominios .com.mx).

Lo que muchos olvidan es que esa facilidad en el registro de un dominio es algo favorable para los golpistas de guardia, que pueden crear nombres de dominio parecido al suyo y atrapar internautas distraídos o hasta intentar extorsionarlo. Al registrar un dominio similar al verdadero (por ejemplo, en vez de apple.com podría ser spple.com), un ciberdelincuente puede alojar un sitio de phishing para capturar datos de sus clientes. A esto llamamos cybersquatting.

Se trata de registrar, de mala fe, un dominio similar a un sitio de alguna marca registrada, con la intención de lucrar con golpes o con la reventa del dominio a un precio inflado.

 

Varias formas de engañar


El cybersquatting es una modalidad de fraude que engloba una serie de técnicas diferentes para registrar dominios similares con la intención de afectar a los consumidores o a las propias empresas. Uno de los “subgéneros” más famoso de la práctica es el typosquatting, que consiste en registrar direcciones con errores de digitación intencionales (ejrmplo-sa.com.mx, ya que la “r” está cercana a la tecla de la “e”), una variación sutil (ejemplos-sa.com, ejemplo-sa.co, ejemplo-sa.cm, etc.). Las posibilidades son inmensas. Aquí listamos las técnicas más usadas: 

  • Homoglifo: utiliza letras o caracteres semejantes para crear un dominio visualmente similar al original. Por ejemplo: ejempIo-sa.com.br (con “i” mayúscula en vez de “l” minúscula”);
  • Repetición: el uso de caracteres repetidos, generalmente aprovechándose de los internautas que escriben muy rápido y tocan dos veces la misma tecla. Por ejemplo: ejjemplo-sa.com.mx;
  • Transposición: el intercambio de dos o más caracteres de lugar, nuevamente en busca de los internautas que escriben muy rápido y cometen errores de dígito. Ejemplo: ejmeplo-sa.com.mx;
  • Sustitución: sustituye un carácter por otro que esté al lado en el teclado. Ejemplo:  ejrmplo-sa.com.mx;
  • Omisión: omite una letra del dominio original. Ejemplo: ejeplo-sa.com.mx;
  • Inserción: inserta una letra al dominio original. Ejemplo: ejempplo-sa.com.mx;
  • Punto ausente: retira un punto del dominio para crear una confusión virtual que consiga engañar al usuario a primera vista. Ejemplo: ejemplo-sacom.com
  • Singularización o pluralización: adiciona o remueve una letra para convertir al dominio en plural o singular, al contrario de lo que era originalmente. Ejemplo: ejemplos-sa.com.mx
  • Cambio de vocal: como el nombre sugiere, altera una vocal en el dominio legítimo. Ejemplo: ejample-sa.com.mx
  • TLD Incorrecto: substituye el dominio de alto nivel por otro similar. Ejemplo: ejemplo-sa.co, ejemplo-sa.cm etc.

Como puede notar, la mayoría de estos golpes se aprovechan de la distracción del usuario que intenta acceder a un sitio legítimo. Tal vez, cometa un error la primera vez que acceda a él, o al oír el nombre del sitio en una charla y no entenderlo bien. O puede caer en el engaño justamente por visitar la página con frecuencia y digitar la URL apurado, sin prestar atención al escribir los caracteres.

 

Alfabetos extranjeros: la cereza del pastel


Existe una técnica aún más elaborada que los ciberdelincuentes utilizan cada vez más contra los internautas para crear un dominio que, a primera vista, parece idéntico al original: el uso de caracteres de alfabetos extranjeros. El más utilizado es el cirílico (usado en lenguas eslavas), pero también se acostumbra a usar el griego con cierta frecuencia. Lo que ocurre es que esos alfabetos poseen caracteres que visualmente son extremadamente similares al nuestro (el romano). 

Por ejemplo: ¿puede distinguir la diferencia entre “a” y “а”? Aunque ambos parecen iguales, la primera es una letra convencional de nuestro alfabeto romano, mientras que la segunda viene del cirílico. Si digita ejemplo-sa.com.mx (con la “а” cirílico) en su navegador, la barra de URL probablemente lo expresará como http://xn--ejemplo-s-8yh.com.mx/, que es la forma que los browsers modernos tienen para lidiar con los caracteres no latinos. Es lo que llamamos punycode.

A pesar de eso, hasta que el link malicioso sea clicado, va a aparecer exactamente como el original, lo que puede engañar a muchas personas distraídas. Asimismo, algunos navegadores (como Mozilla Firefox) no utilizan el punycode y expresan los caracteres extranjeros normalmente, aumentando aún más el peligro de un posible phishing. Y aún no llegamos a hablar de este tipo de dominios para golpes vía email: con esta técnica, es mucho más fácil hacerse pasar por el email oficial de soporte de una gran red social o red de tiendas virtuales. 

Este es un problema tan común que varios investigadores y especialistas ya emitieron alertas al respecto. Existen cerca de 136 mil caracteres Unicode y toneladas de ellos se parecen unos con otros.

 

 

Monitoreo de dominios: cuidado de su imagen digital


Es obvio que no tiene sentido hacerlo pensar por horas y horas en todas las maneras en que un ciberdelincuente puede defraudar su dominio, ni tampoco gastar ríos de dinero registrando todas las URLs similares que existan (claro, por lo menos una .com y una com.mx son esenciales). Y es justamente por eso que es tan importante invertir en monitoreo de dominio. 

Estamos hablando de soluciones que verifican, 24 horas por día, los siete días de la semana, el registro de direcciones similares al de su empresa y que podrían ser utilizadas en un futuro para golpes contra sus clientes o para extorsión corporativa.

El saber de antemano si un dominio similar es registrado, le permitirá tomar las medidas necesarias —como contactar a quien lo registró, avisar a sus clientes sobre la posibilidad de algún golpe o incluso aplicar takedowns, en el caso de que un sitio falso ya esté funcionando. Para eso, puede contar con las soluciones de Axur, que monitorea millones de nombres de dominio existentes, busca variaciones de la marca de su empresa y emite alertas siempre que se detecte algún peligro.