El desarrollador de un proyecto cripto bastante conocido abrió la web de su propia herramienta para desplegar un contrato nuevo. La URL parecía la de siempre. La página también. La wallet se conectó, firmó, y diecinueve minutos después la tesorería del proyecto estaba vacía. Mirándolo con calma, la «a» latina del dominio se había sustituido por una «а» cirílica. Dos codepoints con la misma forma e identidades distintas.
Los ataques de homoglyph y typosquatting son vectores de phishing baratos e industrializados. El atacante registra un dominio que no hay manera de distinguir del legítimo, clona el sitio objetivo con un scraper y espera a que alguien escriba mal la URL, pinche en un enlace de un correo o entre desde un anuncio del buscador. La conversión por visitante es alta porque las víctimas ni se enteran de que las han redirigido.
Qué trucos de la barra de direcciones funcionan de verdad
El typosquatting no es un único truco, es toda una familia. Cuatro variantes acaban pillando antes o después a casi cualquier usuario.
Homoglyphs. Hay letras de otros sistemas de escritura que se ven idénticas en muchas tipografías: «а» cirílica y «a» latina, «о» cirílica y «o» latina, «ο» griega. Registradas con Punycode son, técnicamente, dominios distintos representados con caracteres visualmente iguales.
Erratas a secas. amazoon.com, gooogle.com, paypa1.com (dígito 1 en lugar de l), facebok.com. Quien teclea rápido cae en estos dominios mucho más a menudo de lo que los dueños se imaginan. Los squatters registran cientos de variantes por objetivo.
Trampa con subdominios. apple.com.security-check.xyz o paypal.com.login-ref.ru. El hostname conocido va delante, pero el dominio real es el último segmento antes de la ruta.
Cambio de TLD. Las empresas registran el .com y a veces el .net, pero rara vez todas las TLD relevantes. Los atacantes se quedan con .co, .shop, .io o .app y levantan una copia clavada al píxel. En el móvil, donde las URL suelen cortarse, la TLD apenas se ve.
Cómo escalan las campañas de typosquatting
Las campañas modernas ya no van a mano. El atacante arranca una herramienta de DNS twisting tipo dnstwist y en segundos saca cientos de variantes plausibles de un objetivo. Registra lo que esté barato. Del clon del sitio original se ocupa un scraper que copia HTML, CSS y assets uno a uno, a veces incluso en directo a modo de reverse proxy.
La variante de reverse proxy es especialmente desagradable porque el sitio falso muestra exactamente el mismo contenido que el original, con su formulario de login correcto, un certificado TLS (emitido por Let's Encrypt para el dominio falso) e incluso, a veces, subpáginas que funcionan. El atacante reenvía tus pulsaciones al servicio real al vuelo. A esto se le llama adversary-in-the-middle, y es la razón por la que el 2FA por SMS o TOTP no lo detiene.
nuevos dominios lookalike registrados al mes
de ellos alojan kits de phishing activos
tiempo medio hasta la primera víctima
Por qué se nos escapan las señales de alarma
Media década de estudios con usuarios da siempre la misma respuesta: nadie lee las URL. Se echa un vistazo al nombre de la marca, se ve un candado y a otra cosa. No es un fallo, es sencillamente cómo funciona la lectura a alta frecuencia.
Los navegadores modernos no ayudan: acortan las URL o, en el móvil, muestran solo el dominio. La legibilidad gana, pero a cambio se esconden justo las variaciones de subdominio y TLD que los atacantes aprovechan. Chrome llegó incluso a experimentar con dejar a la vista solo el dominio registrado y ocultar el resto, algo que habría agrandado todavía más el problema.
Por si fuera poco, muchos enlaces de phishing llegan por canales en los que de entrada confías. Un correo del proveedor de hosting, una notificación push de Hacienda, un mensaje de Slack del jefe (falseado por spoofing). Cuando el contexto cuadra, casi nadie repasa la URL.
Detectar un dominio lookalike en segundos
Si has abierto un enlace y tienes dudas, en menos de un minuto puedes saber si el dominio es real.
- 1
Selecciona el dominio en la barra de direcciones
El texto se muestra entonces con tipografía real, muchas veces con una fuente que delata los homoglyphs mucho mejor que la interfaz del navegador. - 2
Pega la URL en un editor de texto
Un editor llano como Notepad o TextEdit te enseña los caracteres en bruto. Si el dominio pasa a contener `xn--` o glifos raros, estás ante un ataque por homoglyph. - 3
Revisa la TLD y los subdominios
El trozo justo antes de la primera barra es el dominio real. Todo lo que viene antes puede llamarse como les dé la gana. - 4
Si la duda persiste, entra por el dominio principal
En vez de seguir el enlace del correo, teclea tú el dominio oficial en el navegador o tira de marcador. El rodeo te lleva diez segundos y deja al ataque sin efecto.
Abrir un enlace sospechoso sin riesgo
A veces hay que abrir el enlace de todas formas, porque quieres ver quién hay detrás. Para eso está el navegador aislado. Abres la URL sospechosa en un entorno que no sabe nada de ti: ni cookies, ni contraseñas guardadas, ni extensión de wallet. Si es un adversary-in-the-middle, cae en una sesión donde no hay credenciales reales que cosechar.
Los equipos de seguridad llevan años usando este patrón para hacer triage de phishing. Para una persona normal funciona igual: los logins importantes pasan siempre por un marcador o un gestor de contraseñas, y las URL sospechosas se abren en un navegador desechable. El método de triage al detalle lo tienes en Testing Suspicious Links Without Risk.
Llévate un escritorio entero a cualquier dispositivo
Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.
Abrir mi navegador en la nubeSin descargas • Funciona en cualquier dispositivo
