Typosquatting: definición y explicación

Typosquatting: definición

El “typosquatting” es una clase de ataque de ingeniería social. Se aprovecha de quienes optan por escribir a mano las direcciones web que quieren visitar (en lugar de usar un buscador, por ejemplo) y, al hacerlo, cometen un error de escritura. El ataque, por lo general, consiste en hacer que el usuario visite un sitio malicioso con una dirección muy similar, pero no exactamente igual, a la del sitio verdadero. La persona ingresa el sitio y, en ocasiones, carga información confidencial sin percatarse del engaño. El riesgo no es solo para el visitante, ya que estas copias falsas pueden costarle la reputación al dueño del sitio verdadero.

El ataque recibe este nombre porque “typo”, en inglés, es una palabra que se refiere a los pequeños errores que de tanto en tanto cometemos al escribir con el teclado. El typosquatting se basa en este fenómeno.

¿Qué es el typosquatting?

El typosquatting es un tipo de delito informático que consiste en registrar un dominio muy similar al de un sitio web conocido, pero que se diferencia del dominio verdadero por tener algún pequeño error de escritura. Cuando un hacker registra esta clase de dominio, lo hace con la esperanza de que alguien lo visite y termine en un sitio web falso y (por lo general) malicioso. ¿Cómo ingresa una persona a un sitio así? Hay dos maneras:

1. la persona puede escribir mal el nombre de un sitio popular en la barra de direcciones (por ejemplo, puede escribir gooogle.com en lugar de google.com)
2. la persona puede ingresar a través de un vínculo engañoso que forme parte de un ataque de phishing.

Cuando el usuario ingresa al dominio engañoso, puede encontrarse con una copia del sitio que quería visitar, cuidadosamente creada para incitar al visitante a cargar el número de su tarjeta de crédito, sus datos bancarios o alguna otra clase de información confidencial. Otras veces, el sitio puede ser una página con anuncios o contenido pornográfico, optimizada para darle al hacker una sustanciosa fuente de ingresos.

El typosquatting no es un problema solo para los usuarios: también es perjudicial para las empresas, siquiera porque cada visita que pierden representa un cliente potencial menos. Por ello, las empresas deben estar siempre a la búsqueda de falsificaciones de sus sitios y es importante que, de encontrarlas, tomen las medidas necesarias.

¿Cómo funciona el typosquatting?

Para realizar un ataque de typosquatting, el primer paso consiste en adquirir uno o más nombres de dominio que se asemejen al de un sitio popular. Un hacker interesado en example.com compraría examplle.com o exmple.com, por ejemplo.

Los dominios de este tipo se vuelven peligrosos cuando comienzan a llegar las visitas. Algunos visitantes ingresan cuando escriben mal la verdadera URL. Otros llegan a través de un vínculo engañoso o de phishing recibido por correo electrónico u otro medio.

A menudo, el sitio falso copia el diseño del original y contiene el logotipo verdadero de la organización emulada. Si el usuario no se percata de que está viendo una falsificación, puede revelar información confidencial como su nombre de usuario y contraseña o los datos de su tarjeta de crédito. En el primero de estos casos, si los datos que revela son los mismos que utiliza para identificarse en otros sitios, queda expuesto a que los hackers ataquen sus otras cuentas.

El typosquatting se vale, en gran medida, de confusiones o errores como estos:

Errores de escritura

En la vorágine del día a día, todos cometemos pequeños errores al escribir lo que queremos encontrar. Las personas más propensas a cometer faltas (y, por ende, las más propensas a visitar gogle.com en lugar de google.com) son las que confían en el autocorrector y no se interesan por escribir con precisión.

Desconocimiento

A veces un usuario escribe mal el nombre de una marca no por error, sino porque sencillamente no sabe cómo se escribe. Los delincuentes son bien conscientes de que esto sucede. Por este motivo, muchas empresas registran dominios que se alejan ligeramente del verdadero nombre de su marca y los apuntan a la página oficial antes de que alguien se les adelante.

Escrituras alternativas

A veces, el nombre de un producto o servicio puede escribirse de dos maneras distintas, en especial si incluye alguna palabra común. Por ejemplo, tanto “pijama” como “piyama” son formas correctas de escribir la misma palabra. La preferencia por una u otra varía según la región. Esto, por obvios motivos, puede dar a confusión. Cuando una dirección web contiene una palabra con varias alternativas de escritura, existe un riesgo de que el visitante elija la opción incorrecta.

Dominios con guiones

Los nombres de dominio que contienen guiones también pueden ser confusos. Por ejemplo, si la verdadera dirección de un sitio es example-onlineshop.com, un delincuente podría registrar una variante con un guion adicional (example-online-shop.com) para engañar a los usuarios. A simple vista, el usuario podría creer que la dirección con dos guiones es la verdadera; en la realidad, podría ser un dominio registrado para mostrar anuncios o propagar malware.

Terminaciones diferentes

Los delincuentes también han sabido aprovecharse de que los dominios pueden tener distintas terminaciones según la región (.com, .co.uk, .cn y otras) o el tipo de emprendimiento (.com, .org, .web, .shop y otras). Si tienes un sitio web, registra tu dirección con varias de estas terminaciones (llamadas, técnicamente, dominios de nivel superior). De este modo, evitarás que ciertas combinaciones terminen en malas manos. Una de las terminaciones que más se presta al typosquatting es la de Colombia, .co, debido a su similitud con el dominio de nivel superior por excelencia: el .com.

Clases de typosquatting

Por lo general, los hackers compran dominios engañosos para alguno de estos fines:

Imitaciones

Este el caso del que ya hemos hablado: un sitio web falso y engañoso que simula ser otro. Un sitio que imite el de un banco conocido, por ejemplo, tendrá el diseño, el logotipo y el esquema de colores que utilice la entidad. Las imitaciones son típicas de los ataques de phishing, pues ayudan a recabar nombres de usuarios y contraseñas, datos personales y otra información.

Compras engañosas

El sitio falso dice vender artículos que el visitante hubiera comprado en el sitio real. Por desgracia, las compras digitales no son fáciles de desconocer ante las emisoras de tarjetas de crédito. El comprador se queda sin el artículo que pidió y se ve obligado a pagarlo de todos modos.

Páginas relacionadas en los resultados de búsqueda

El propietario del dominio engañoso capta el tráfico que debía ir al sitio verdadero y lo redirige al sitio de un competidor, a quien le cobra por cada clic.

Monetización de tráfico

El propietario del dominio crea un sitio falso con anuncios integrados o emergentes y obtiene una ganancia por cada visitante.

Encuestas y sorteos

Se le hace creer al visitante que ha ingresado al sitio de una empresa interesada en conocer su opinión. El interés, en realidad, está en recopilar información que permita robarle la identidad a la víctima.

Vínculos de afiliados

El sitio falso redirige el tráfico al sitio verdadero, pero lo hace a través de un vínculo de afiliado. Esta clase de vínculo, que puede formar parte de un programa de afiliados lícito, le reporta al dueño del sitio falso una comisión por cada venta concretada.

Distribución de malware

El sitio web malicioso está diseñado para instalar malware o adware en el dispositivo del visitante.

Sitios de burla

Estos sitios ridiculizan los que el usuario realmente quería visitar. Esta variedad suele ser creada por venganza.

Cybersquatting vs. typosquatting

Existe un delito similar al typosquatting denominado “cybersquatting” o ciberocupación. La práctica consiste en comprar un dominio que se asemeja al de una marca o sitio web existentes. Lo que se busca, sin embargo, no es alojar un sitio web, sino vender el dominio al titular de la marca o sitio web originales al mayor precio posible.

Celosas de sus marcas y de sus clientes, muchas empresas se sienten prácticamente obligadas a comprar estos dominios, cuesten lo que cuesten. El cybersquatting puede ser una actividad muy lucrativa porque el precio “normal” de un dominio es muy bajo.

El cybersquatting es para quienes buscan hacer dinero fácil. El typosquatting es para quienes van por más y están dispuestos, por ejemplo, a introducirse en el equipo de una víctima para robarle la identidad.

Cabe mencionar también una variedad de typosquatting denominada “combosquatting”. En este caso, el delincuente registra un dominio que se diferencia de uno lícito por contener más palabras. Un ejemplo podría ser amazon-onlineshop.com, dirección que algunos creerían pertenece a Amazon. El engaño aquí no se basa en un error de escritura, sino simplemente en el agregado de palabras.

Ejemplos de typosquatting

Uno de los primeros y más famosos casos de typosquatting involucró a Google. En 2006, un grupo de delincuentes registró el dominio goggle.com y lo utilizó para alojar un sitio de phishing. Con el correr de los años, se registraron otras variaciones del nombre Google, como “foogle”, “hoogle”, “yoogle” y “boogle”. Los hackers pretendían captar parte del tráfico destinado al buscador aprovechando la cercanía (en un teclado QWERTY) entre la “g” de Google y la primera letra de cada dominio.

Personalidades como Madonna, Paris Hilton y Jennifer Lopez también han sido víctimas del typosquatting: cada una se vio asociada a sitios web con nombres que se asemejaban a los suyos, pero que nada tenían que ver con ellas. Los sitios en cuestión contenían pornografía, anuncios o vínculos de afiliados y estaban diseñados para captar a fanáticos incautos.

En Estados Unidos, en los meses anteriores a la elección presidencial de 2020, salieron a la luz dominios con nombres similares a los de algunos candidatos, pero que no pertenecían a esas personas, sino a delincuentes que los habían registrado con fines maliciosos.

Cómo protegerse del typosquatting

Hay ciertas medidas que puedes implementar al navegar por la Web para no caer presa del typosquatting:

• No hagas clic en ningún vínculo que encuentres en un sitio web desconocido o que te envíen sin previo aviso por chat, por correo electrónico o por mensaje de texto. Ten cuidado con los vínculos que veas en las redes sociales; si algo te genera dudas, no le hagas clic.
• No abras archivos adjuntos si dudas sobre su origen o sobre la identidad del remitente.
• Instala una solución antivirus para mantener tu dispositivo protegido del malware. Las aplicaciones de ciberseguridad más completas, como Kaspersky Total Security, ofrecen protección contra el software malicioso y pueden detectar amenazas en cualquier sitio.
• Antes de hacer clic en un vínculo, pósate sobre él y controla a dónde conduce. Verifica que la dirección no tenga errores de ortografía ni letras, palabras o guiones de más (o de menos). Comprueba también que la terminación sea la correcta (por ejemplo, google.com y no google.mailru.co).
• Crea marcadores para los sitios web que más utilices. De ese modo, podrás visitarlos sin tener que escribir sus direcciones manualmente.
• Si no quieres crear marcadores, busca el nombre del sitio en un motor de búsqueda y haz clic en la dirección que aparezca en los resultados.
• Usa un software de reconocimiento de voz para visitar direcciones populares.
• Si hay un sitio que visitas todos los días, déjalo abierto en una pestaña; en general, puedes guardar tu sesión de navegación y retomarla en otro momento. También puedes definir una lista de sitios que deban abrirse cada vez que ejecutes el navegador.
• En lugar de escribir las direcciones a mano, utiliza una herramienta de búsqueda segura.

En cuanto a las organizaciones, la mejor estrategia es adelantarse a los atacantes:

Registra versiones “incorrectas” de tu dominio antes de que otro lo haga

Si hay errores obvios que alguien pueda cometer al escribir la dirección de tu sitio web, registra los dominios correspondientes y apúntalos a la dirección verdadera. Registra también tu dominio con y sin guiones, con otras grafías y con otras terminaciones (las de otros países y cualquier otra que consideres sensata). Una vez que hayas comprado todos estos dominios, podrás redirigirlos fácilmente a tu verdadero sitio.

Utiliza el servicio de monitoreo de ICANN

ICANN es la Corporación de Internet para la Asignación de Nombres y Números. Si tienes un sitio web, puedes usar un servicio de ICANN llamado Trademark Clearinghouse para saber si existen otros dominios que utilicen tu nombre. El servicio está disponible para marcas registradas tanto en su país de origen como en el extranjero.

Usa un certificado SSL para inspirar confianza

Los certificados SSL son un buen modo de mostrar que un sitio web es fidedigno. Le indican al usuario con quién se han conectado y protegen su información cuando está en tránsito. El hecho de que un sitio web no tenga certificado SSL puede significar que, en realidad, se ha visitado un sitio falso.

Da aviso a todas las partes interesadas

Si crees que tu organización tiene (o está por tener) un imitador, da aviso a tus clientes, a tus empleados y a cualquier otra parte interesada para que estén atentos a sitios falsos o correos sospechosos.

Intenta que den de baja los sitios o servidores de correo sospechosos

El proceso para pedir la baja de un sitio web varía por región, pero la Política de Resolución de Disputas de Nombres de Dominio Uniformes de ICANN te ayudará a dar el primer paso. En esta política, se describe el proceso que el titular de una marca registrada puede seguir para presentar una queja y solicitar que un sitio web sea dado de baja.

Algunos países (como los Estados Unidos) tienen leyes contra el typosquatting que buscan proteger al titular de un sitio web, pero recurrir a la justicia puede ser lento y trabajoso. Lo recomendable es tomar medidas de prevención y evitar que el sitio se convierta en blanco de estos ataques. El mejor modo de evitar el typosquatting es el que se recomienda para cualquier ciberataque: mantenerse alerta. Si tienes un sitio web, tus visitantes confían en que buscarás y harás desactivar cualquier sitio engañoso que utilice tu nombre; si pierdes esa confianza, tal vez no la recuperes.

Artículos relacionados:

• ¿Qué es un certificado SSL?
• ¿Cuáles son los diferentes tipos de ransomware?
• Formas en que los hackers pueden violar tu privacidad en línea
• Sitios web de estafas: qué son y cómo evitarlos