El “typosquatting” es una clase de ataque de ingeniería social. Se aprovecha de quienes optan por escribir a mano las direcciones web que quieren visitar (en lugar de usar un buscador, por ejemplo) y, al hacerlo, cometen un error de escritura. El ataque, por lo general, consiste en hacer que el usuario visite un sitio malicioso con una dirección muy similar, pero no exactamente igual, a la del sitio verdadero. La persona ingresa el sitio y, en ocasiones, carga información confidencial sin percatarse del engaño. El riesgo no es solo para el visitante, ya que estas copias falsas pueden costarle la reputación al dueño del sitio verdadero.
El ataque recibe este nombre porque “typo”, en inglés, es una palabra que se refiere a los pequeños errores que de tanto en tanto cometemos al escribir con el teclado. El typosquatting se basa en este fenómeno.
El typosquatting es un tipo de delito informático que consiste en registrar un dominio muy similar al de un sitio web conocido, pero que se diferencia del dominio verdadero por tener algún pequeño error de escritura. Cuando un hacker registra esta clase de dominio, lo hace con la esperanza de que alguien lo visite y termine en un sitio web falso y (por lo general) malicioso. ¿Cómo ingresa una persona a un sitio así? Hay dos maneras:
Cuando el usuario ingresa al dominio engañoso, puede encontrarse con una copia del sitio que quería visitar, cuidadosamente creada para incitar al visitante a cargar el número de su tarjeta de crédito, sus datos bancarios o alguna otra clase de información confidencial. Otras veces, el sitio puede ser una página con anuncios o contenido pornográfico, optimizada para darle al hacker una sustanciosa fuente de ingresos.
El typosquatting no es un problema solo para los usuarios: también es perjudicial para las empresas, siquiera porque cada visita que pierden representa un cliente potencial menos. Por ello, las empresas deben estar siempre a la búsqueda de falsificaciones de sus sitios y es importante que, de encontrarlas, tomen las medidas necesarias.
Para realizar un ataque de typosquatting, el primer paso consiste en adquirir uno o más nombres de dominio que se asemejen al de un sitio popular. Un hacker interesado en example.com compraría examplle.com o exmple.com, por ejemplo.
Los dominios de este tipo se vuelven peligrosos cuando comienzan a llegar las visitas. Algunos visitantes ingresan cuando escriben mal la verdadera URL. Otros llegan a través de un vínculo engañoso o de phishing recibido por correo electrónico u otro medio.
A menudo, el sitio falso copia el diseño del original y contiene el logotipo verdadero de la organización emulada. Si el usuario no se percata de que está viendo una falsificación, puede revelar información confidencial como su nombre de usuario y contraseña o los datos de su tarjeta de crédito. En el primero de estos casos, si los datos que revela son los mismos que utiliza para identificarse en otros sitios, queda expuesto a que los hackers ataquen sus otras cuentas.
El typosquatting se vale, en gran medida, de confusiones o errores como estos:
En la vorágine del día a día, todos cometemos pequeños errores al escribir lo que queremos encontrar. Las personas más propensas a cometer faltas (y, por ende, las más propensas a visitar gogle.com en lugar de google.com) son las que confían en el autocorrector y no se interesan por escribir con precisión.
A veces un usuario escribe mal el nombre de una marca no por error, sino porque sencillamente no sabe cómo se escribe. Los delincuentes son bien conscientes de que esto sucede. Por este motivo, muchas empresas registran dominios que se alejan ligeramente del verdadero nombre de su marca y los apuntan a la página oficial antes de que alguien se les adelante.
A veces, el nombre de un producto o servicio puede escribirse de dos maneras distintas, en especial si incluye alguna palabra común. Por ejemplo, tanto “pijama” como “piyama” son formas correctas de escribir la misma palabra. La preferencia por una u otra varía según la región. Esto, por obvios motivos, puede dar a confusión. Cuando una dirección web contiene una palabra con varias alternativas de escritura, existe un riesgo de que el visitante elija la opción incorrecta.
Los nombres de dominio que contienen guiones también pueden ser confusos. Por ejemplo, si la verdadera dirección de un sitio es example-onlineshop.com, un delincuente podría registrar una variante con un guion adicional (example-online-shop.com) para engañar a los usuarios. A simple vista, el usuario podría creer que la dirección con dos guiones es la verdadera; en la realidad, podría ser un dominio registrado para mostrar anuncios o propagar malware.
Los delincuentes también han sabido aprovecharse de que los dominios pueden tener distintas terminaciones según la región (.com, .co.uk, .cn y otras) o el tipo de emprendimiento (.com, .org, .web, .shop y otras). Si tienes un sitio web, registra tu dirección con varias de estas terminaciones (llamadas, técnicamente, dominios de nivel superior). De este modo, evitarás que ciertas combinaciones terminen en malas manos. Una de las terminaciones que más se presta al typosquatting es la de Colombia, .co, debido a su similitud con el dominio de nivel superior por excelencia: el .com.
Por lo general, los hackers compran dominios engañosos para alguno de estos fines:
Este el caso del que ya hemos hablado: un sitio web falso y engañoso que simula ser otro. Un sitio que imite el de un banco conocido, por ejemplo, tendrá el diseño, el logotipo y el esquema de colores que utilice la entidad. Las imitaciones son típicas de los ataques de phishing, pues ayudan a recabar nombres de usuarios y contraseñas, datos personales y otra información.
El sitio falso dice vender artículos que el visitante hubiera comprado en el sitio real. Por desgracia, las compras digitales no son fáciles de desconocer ante las emisoras de tarjetas de crédito. El comprador se queda sin el artículo que pidió y se ve obligado a pagarlo de todos modos.
El propietario del dominio engañoso capta el tráfico que debía ir al sitio verdadero y lo redirige al sitio de un competidor, a quien le cobra por cada clic.
El propietario del dominio crea un sitio falso con anuncios integrados o emergentes y obtiene una ganancia por cada visitante.
Se le hace creer al visitante que ha ingresado al sitio de una empresa interesada en conocer su opinión. El interés, en realidad, está en recopilar información que permita robarle la identidad a la víctima.
El sitio falso redirige el tráfico al sitio verdadero, pero lo hace a través de un vínculo de afiliado. Esta clase de vínculo, que puede formar parte de un programa de afiliados lícito, le reporta al dueño del sitio falso una comisión por cada venta concretada.
El sitio web malicioso está diseñado para instalar malware o adware en el dispositivo del visitante.
Estos sitios ridiculizan los que el usuario realmente quería visitar. Esta variedad suele ser creada por venganza.
Existe un delito similar al typosquatting denominado “cybersquatting” o ciberocupación. La práctica consiste en comprar un dominio que se asemeja al de una marca o sitio web existentes. Lo que se busca, sin embargo, no es alojar un sitio web, sino vender el dominio al titular de la marca o sitio web originales al mayor precio posible.
Celosas de sus marcas y de sus clientes, muchas empresas se sienten prácticamente obligadas a comprar estos dominios, cuesten lo que cuesten. El cybersquatting puede ser una actividad muy lucrativa porque el precio “normal” de un dominio es muy bajo.
El cybersquatting es para quienes buscan hacer dinero fácil. El typosquatting es para quienes van por más y están dispuestos, por ejemplo, a introducirse en el equipo de una víctima para robarle la identidad.
Cabe mencionar también una variedad de typosquatting denominada “combosquatting”. En este caso, el delincuente registra un dominio que se diferencia de uno lícito por contener más palabras. Un ejemplo podría ser amazon-onlineshop.com, dirección que algunos creerían pertenece a Amazon. El engaño aquí no se basa en un error de escritura, sino simplemente en el agregado de palabras.
Uno de los primeros y más famosos casos de typosquatting involucró a Google. En 2006, un grupo de delincuentes registró el dominio goggle.com y lo utilizó para alojar un sitio de phishing. Con el correr de los años, se registraron otras variaciones del nombre Google, como “foogle”, “hoogle”, “yoogle” y “boogle”. Los hackers pretendían captar parte del tráfico destinado al buscador aprovechando la cercanía (en un teclado QWERTY) entre la “g” de Google y la primera letra de cada dominio.
Personalidades como Madonna, Paris Hilton y Jennifer Lopez también han sido víctimas del typosquatting: cada una se vio asociada a sitios web con nombres que se asemejaban a los suyos, pero que nada tenían que ver con ellas. Los sitios en cuestión contenían pornografía, anuncios o vínculos de afiliados y estaban diseñados para captar a fanáticos incautos.
En Estados Unidos, en los meses anteriores a la elección presidencial de 2020, salieron a la luz dominios con nombres similares a los de algunos candidatos, pero que no pertenecían a esas personas, sino a delincuentes que los habían registrado con fines maliciosos.
Hay ciertas medidas que puedes implementar al navegar por la Web para no caer presa del typosquatting:
En cuanto a las organizaciones, la mejor estrategia es adelantarse a los atacantes:
Si hay errores obvios que alguien pueda cometer al escribir la dirección de tu sitio web, registra los dominios correspondientes y apúntalos a la dirección verdadera. Registra también tu dominio con y sin guiones, con otras grafías y con otras terminaciones (las de otros países y cualquier otra que consideres sensata). Una vez que hayas comprado todos estos dominios, podrás redirigirlos fácilmente a tu verdadero sitio.
ICANN es la Corporación de Internet para la Asignación de Nombres y Números. Si tienes un sitio web, puedes usar un servicio de ICANN llamado Trademark Clearinghouse para saber si existen otros dominios que utilicen tu nombre. El servicio está disponible para marcas registradas tanto en su país de origen como en el extranjero.
Los certificados SSL son un buen modo de mostrar que un sitio web es fidedigno. Le indican al usuario con quién se han conectado y protegen su información cuando está en tránsito. El hecho de que un sitio web no tenga certificado SSL puede significar que, en realidad, se ha visitado un sitio falso.
Si crees que tu organización tiene (o está por tener) un imitador, da aviso a tus clientes, a tus empleados y a cualquier otra parte interesada para que estén atentos a sitios falsos o correos sospechosos.
El proceso para pedir la baja de un sitio web varía por región, pero la Política de Resolución de Disputas de Nombres de Dominio Uniformes de ICANN te ayudará a dar el primer paso. En esta política, se describe el proceso que el titular de una marca registrada puede seguir para presentar una queja y solicitar que un sitio web sea dado de baja.
Algunos países (como los Estados Unidos) tienen leyes contra el typosquatting que buscan proteger al titular de un sitio web, pero recurrir a la justicia puede ser lento y trabajoso. Lo recomendable es tomar medidas de prevención y evitar que el sitio se convierta en blanco de estos ataques. El mejor modo de evitar el typosquatting es el que se recomienda para cualquier ciberataque: mantenerse alerta. Si tienes un sitio web, tus visitantes confían en que buscarás y harás desactivar cualquier sitio engañoso que utilice tu nombre; si pierdes esa confianza, tal vez no la recuperes.
Artículos relacionados: