Los atacantes de phishing selectivo utilizan dominios similares para hacerse pasar por marcas y eludir las medidas de seguridad. Aprenda a detectar, supervisar y prevenir estas amenazas con el seguimiento de dominios, la inteligencia sobre amenazas y la autenticación de correo electrónico.
Dominios similares en el phishing: cómo los atacantes registran dominios engañosos para engañar a los usuarios.
Dominios aparcados: ¿una amenaza oculta? Por qué los dominios inactivos pueden convertirse en estafas activas de la noche a la mañana
Tácticas de suplantación de correo electrónico: ¿se puede utilizar su marca para enviar correos electrónicos falsos sin que usted lo sepa?
Inteligencia sobre amenazas en acción: cómo el monitoreo de dominios y servidores SMTP puede exponer el fraude.
¿Ha detectado un dominio sospechoso? Los pasos clave para investigarlo, denunciarlo y eliminarlo rápidamente.
En abril de 2023, Axur identificó un dominio muy similar al nuestro, registrado con contactos en modo privado, que inicialmente mostraba una página en blanco. Comenzamos a monitorear la infraestructura, previendo que pronto podría albergar una página falsa o un servicio de correo electrónico para phishing selectivo. Unas semanas después, el sitio comenzó a replicar nuestra página y activó un servidor SMTP. Aunque eliminamos el contenido, este tipo de casos ocurren a diario, lo que deja a muchas organizaciones sin saber cómo actuar.
El peligro aumenta cuando el dominio similar no muestra contenido falso, lo que dificulta solicitar la eliminación (como analizamos en nuestro artículo sobre dominios aparcados). Si bien los ataques dirigidos a empleados se pueden mitigar aplicando filtros en la red interna y el servidor de correo electrónico, las amenazas a proveedores o clientes lamentablemente terminan funcionando.
Este artículo presenta información práctica y herramientas gratuitas para discutir cómo actuar en estos escenarios.
El phishing selectivo es un ataque muy específico en el que los delincuentes realizan una investigación detallada para crear mensajes personalizados dirigidos a personas específicas. Cuando los atacantes registran dominios que se parecen visualmente al dominio de su empresa, aumentan la credibilidad de los correos electrónicos de phishing. Así es como sucede:
Reconocimiento: los atacantes recopilan información pública (de sitios web, redes sociales, datos filtrados, etc.) para comprender la estructura y el estilo de comunicación de su organización.
Suplantación de identidad a través de dominios: al registrar dominios que son visualmente similares (mediante sustituciones mínimas de caracteres, errores tipográficos (typosquatting) o incluso ataques homográficos), crean la ilusión de legitimidad.
Mensajes personalizados: con estos dominios engañosos, los delincuentes envían correos electrónicos que parecen provenir de fuentes confiables, lo que aumenta la probabilidad de que los destinatarios hagan clic en enlaces maliciosos o revelen información confidencial.
Los nombres de dominio son fundamentales para el éxito de los ataques de phishing por las siguientes razones:
Establecer confianza: un dominio que se parece mucho al legítimo otorga una credibilidad indebida a los correos electrónicos de phishing.
Cómo evadir filtros: Es posible que los dominios recién registrados aún no tengan una reputación negativa, lo que les permite evadir los filtros de correo electrónico.
Confusión del usuario: bajo presión, los destinatarios pueden pasar por alto las diferencias sutiles entre un dominio falso y uno real, especialmente si la comunicación es urgente o supuestamente proviene de una autoridad.
La monitorización proactiva de dominios es esencial para identificar registros sospechosos (ya sean dominios similares, errores tipográficos o ataques homográficos), ya que los delincuentes utilizan cambios sutiles en los nombres para confundir a los usuarios. Si estas técnicas funcionan, es porque el dominio fraudulento necesita estar relacionado, de alguna manera, con el dominio legítimo de la empresa, lo que refuerza la importancia de monitorizar dominios similares.
Esto se hace mediante el monitoreo de listas de dominios, que pueden obtenerse gratuitamente de los principales TLD o adquirirse a través de feeds ofrecidos por empresas especializadas. A partir de estas listas, actualizadas diariamente, es posible utilizar herramientas automatizadas con expresiones regulares (regex) para extraer e identificar registros que tengan características sospechosas, según los siguientes ejemplos.
Patrón básico para un dominio similar: Suponiendo que su dominio legítimo es example.com, una expresión regular para capturar sustituciones de caracteres simples puede ser:
^examp[l1]o\.com$
Este patrón identifica variaciones donde el carácter "l" se reemplaza por "1".
Detección de errores tipográficos y caracteres adicionales: para identificar dominios con números adicionales o letras intercambiadas (por ejemplo, ejemplo123.com o ejemplolo.com), intente lo siguiente:
^examp(?:lo|ol)[0-9]{0,3}\.com$
Esta expresión permite realizar cambios menores en la posición de las letras o la adición de hasta tres dígitos.
^(?:e[xх]emplo)\.com$
En este caso, el patrón busca tanto la "x" latina como su homógrafo cirílico ("х") en la parte central del dominio.
Una configuración de autenticación de correo electrónico sólida es fundamental para evitar que los atacantes utilicen su marca para enviar correos electrónicos falsificados. La suplantación de identidad es una técnica muy utilizada en la que el atacante configura su servicio de correo electrónico para enviar mensajes como si se enviaran a través de su nombre de dominio. Estos son los principales protocolos y las mejores prácticas:
SPF (Sender Policy Framework): SPF le permite definir qué direcciones IP están autorizadas a enviar correos electrónicos en nombre de su dominio.
DKIM (DomainKeys Identified Mail): configura DKIM generando un par de claves (pública y privada). La clave privada se utiliza para firmar los correos electrónicos salientes, mientras que la clave pública se publica en el DNS, lo que permite que los servidores receptores verifiquen la integridad del mensaje. Puedes encontrar guías detalladas en dmarcian .
DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC complementa a SPF y DKIM, y da instrucciones a los servidores receptores sobre cómo manejar los correos electrónicos que no superan la autenticación. Herramientas como DMARC Analyzer ayudan a analizar y ajustar continuamente las políticas de DMARC.
Puede utilizar el comando dig para consultar registros DNS y comprobar la configuración de DMARC y DKIM. Por ejemplo, para comprobar DMARC, ejecute:
Bash:
dig txt _dmarc.yourdomain.com
Para comprobar DKIM, necesitará saber el selector configurado (por ejemplo, "predeterminado"). Si este es el caso, utilice:
dig txt default._domainkey.yourdomain.com
Si el selector es diferente, reemplace "default" con el valor correcto. Estos comandos devolverán los registros TXT configurados, lo que le permitirá confirmar si son apropiados.
Además de monitorear los registros de dominios, es esencial monitorear la infraestructura asociada a estos dominios, como IP y servidores SMTP.
Los atacantes suelen registrar dominios solo para operar un servidor SMTP, sin desarrollar un sitio web. Monitorear los registros de dominio, las direcciones IP y la configuración SMTP puede revelar señales tempranas de actividad maliciosa. Recomendamos mapear los siguientes parámetros para cada dominio similar identificado: si hay una IP definida, si hay registros MX (intercambio de correo) y NS (servidor de nombres) configurados y qué puertos están abiertos (80 y 443 para servicios web o 25, 587, 465 y 2525 para SMTP).
Herramientas como Domain Watchdog de Axur ofrecen monitoreo de dominios gratuito. Estas soluciones le alertan sobre cambios en los registros DNS o la activación de servicios SMTP, lo que indica que un dominio aparentemente estacionado puede estar siendo preparado para campañas de phishing selectivo.
Es fundamental recopilar la mayor cantidad de información posible para demostrar la actividad sospechosa. Entre las pruebas que debe recopilar se encuentran:
Encabezados de correo electrónico: captura los encabezados completos de los correos electrónicos sospechosos, que contienen información sobre la ruta, las direcciones IP de origen, los servidores involucrados y otras pistas esenciales para rastrear el origen del mensaje. Esta documentación es fundamental para las investigaciones internas y las posibles acciones legales. Para saber cómo capturar los encabezados de correo electrónico, consulta las guías de Gmail o Outlook.
Marcas de tiempo y fechas: registre las horas y las fechas en que se recibieron los correos electrónicos, ya que esto ayuda a establecer la cronología del incidente.
Enlaces y archivos adjuntos: guarde copias de enlaces y archivos adjuntos sospechosos, ya que pueden analizarse más tarde para identificar contenido malicioso o conexiones a otros ataques.
Documentar esta evidencia no sólo ayuda en la investigación interna, sino que también sirve como prueba en procedimientos legales o en la comunicación con autoridades y socios.
Tan pronto como se identifique una actividad sospechosa, se debe informar de inmediato a los equipos de TI y ciberseguridad. Es importante que todos los empleados estén informados para que tomen medidas de precaución y eviten acciones que puedan comprometer la seguridad de la empresa. Ejemplo de un mensaje interno a los empleados:
Asunto: Alerta de seguridad: verificación de correos electrónicos sospechosos
Estimados empleados,
Hemos identificado intentos de phishing mediante correos electrónicos falsos que se parecen a nuestras comunicaciones oficiales. Estos correos electrónicos pueden tener ligeras variaciones en el dominio o contener solicitudes inusuales, como cambios en los datos bancarios.
Le solicitamos que esté alerta a los mensajes que presenten discrepancias, como dominios ligeramente diferentes o solicitudes inesperadas de información confidencial, acceso a ciertos sitios web, sus contraseñas o incluso transferencias de dinero.
Si recibe o identifica algo sospechoso, envíelo inmediatamente a nuestro equipo de TI a security@example.com.
Agradecemos la cooperación de todos para mantener la seguridad de nuestra comunicación.
Atentamente,
[Su nombre / Equipo de seguridad]
Este tipo de comunicación pretende alertar sin causar pánico, reforzando la importancia de la atención y la colaboración.
Si identifica un dominio fraudulento que se utiliza para hacerse pasar por su empresa, es importante actuar rápidamente. Además de ponerse en contacto con el registrador de dominios o el proveedor de alojamiento, puede utilizar el servicio de eliminación de Axur para acelerar la eliminación del dominio sospechoso.
Registrador vs. Proveedor: Generalmente es más efectivo contactar al registrador del dominio, ya que este tiene control directo sobre el registro. Sin embargo, en algunos casos, también se puede contactar al proveedor de hosting para suspender los servicios asociados al dominio.
Base legal: En algunas situaciones, puede ser posible invocar la legislación estadounidense, como la Ley de Derechos de Autor del Milenio Digital (DMCA), que, aunque se centra en los derechos de autor, demuestra cómo la legislación puede utilizarse para argumentar contra el uso indebido de los dominios. Esta base legal refuerza la importancia de actuar incluso cuando las pruebas son escasas, pero es recomendable consultar a un abogado para evaluar el caso específico.
Cuando el robo de identidad se propaga y afecta a terceros, es fundamental comunicarse con los clientes y socios de forma clara y eficaz. Mantenga un tono tranquilo, objetivo e informativo, evitando el alarmismo. Explique brevemente la situación y proporcione orientación práctica sobre cómo identificar las comunicaciones legítimas de su empresa. Utilice correos electrónicos oficiales, actualizaciones en el sitio web de la empresa, redes sociales y, si es posible, un centro de ayuda dedicado para responder preguntas. Ejemplo de comunicación:
Estimado cliente/socio:
Le informamos que hemos identificado intentos de phishing que utilizan dominios similares al nuestro para enviar comunicaciones fraudulentas. Reforzamos que nuestras comunicaciones oficiales se envían únicamente desde [su-dominio.com]. Si recibe algún correo electrónico sospechoso, por favor póngase en contacto con nosotros inmediatamente a través de [insertar canal de contacto].
Estamos trabajando para resolver la situación y agradecemos su atención y cooperación.
Atentamente,
[Su empresa]
Luego de contener la amenaza, es fundamental revisar y reforzar los protocolos de seguridad. Para los usuarios de los servicios de correo electrónico de Microsoft o Google, se pueden adoptar las siguientes prácticas:
Microsoft (Office 365): utilice el Centro de seguridad y cumplimiento para configurar y supervisar las políticas de seguridad, incluidas SPF, DKIM y DMARC. Microsoft ofrece guías detalladas para implementar estas medidas, a las que se puede acceder aquí .
Google (Google Workspace): en la consola de administración de Google, configure los registros SPF, DKIM y DMARC para garantizar que los correos electrónicos enviados en nombre de su empresa estén correctamente autenticados. Puede encontrar más información y orientación en este enlace.
Estas configuraciones ayudan a evitar que se envíen correos electrónicos falsificados y garantizan que los servidores receptores validen las comunicaciones legítimas.
Aunque en algunos casos involucrar a las autoridades puede no resultar en una acción inmediata, es importante denunciar el incidente a la policía, especialmente si hay evidencia concreta de que el ataque está en curso.
La presentación de una denuncia formal crea un historial que puede ser esencial para futuras investigaciones. Incluso si la acción policial no detiene el ataque de inmediato, el registro contribuye a construir un caso sólido y puede ayudar a disuadir a los delincuentes.
Esta medida sólo debe adoptarse si existen pruebas claras de que se está produciendo una actividad maliciosa. Informar a las autoridades es un paso complementario que, junto con otras acciones, refuerza la postura de seguridad de la empresa.
El phishing selectivo sigue siendo una amenaza persistente y en constante evolución, especialmente cuando los atacantes utilizan dominios similares para hacerse pasar por entidades de confianza. Mediante la combinación de la supervisión proactiva de dominios, la implementación sólida de protocolos de autenticación de correo electrónico (SPF, DKIM, DMARC) y la supervisión continua de la infraestructura y la inteligencia sobre amenazas, las organizaciones pueden reducir significativamente sus riesgos.
El incidente al que nos enfrentamos en Axur en abril de 2023 sirve como ejemplo práctico de cómo un dominio puede evolucionar rápidamente de un estado estancado a una amenaza activa. Con herramientas gratuitas como Domain Watchdog y un enfoque técnico y proactivo, es posible anticipar y neutralizar estas amenazas antes de que provoquen daños a empleados, proveedores o clientes.
P: ¿Qué es el phishing selectivo?
R: El spear phishing se dirige a individuos u organizaciones específicas y utiliza mensajes personalizados para engañarlos.
P: ¿Cómo puedo reconocer un nombre de dominio engañoso?
A: Busque errores ortográficos sutiles, sustituciones de caracteres u homógrafos (caracteres que se parecen).
P: ¿Qué es el typosquatting?
A: El typosquatting utiliza errores ortográficos comunes de nombres de dominio legítimos para engañar a los usuarios.
P: ¿Qué son SPF, DKIM y DMARC?
R: Estos son métodos de autenticación de correo electrónico que ayudan a prevenir la suplantación de identidad y garantizar la legitimidad del correo electrónico.
P: ¿Qué debo hacer si recibo un correo electrónico sospechoso?
A: No haga clic en ningún enlace ni archivo adjunto. Informe al departamento de TI o al equipo de seguridad.
P: ¿Cómo pueden las empresas protegerse del spear phishing?
A: Monitorear dominios sospechosos, implementar autenticación de correo electrónico, capacitar a los empleados y utilizar plataformas de inteligencia de amenazas.
P: ¿Cuál es el papel de la inteligencia de amenazas en la lucha contra el phishing selectivo?
R: La inteligencia sobre amenazas proporciona información sobre las tácticas de los atacantes y ayuda a las organizaciones a defenderse de forma proactiva contra las amenazas emergentes.
P: ¿Cuáles son algunas herramientas para monitorear registros de dominios?
R: Herramientas como Domain Watchdog de Axur pueden ayudarle a monitorear registros de dominios sospechosos.
P: ¿Cómo puedo obtener más información sobre las mejores prácticas de ciberseguridad?
R: Consulte recursos de organizaciones como NIST (Instituto Nacional de Estándares y Tecnología) y SANS Institute.