{"id":26378,"date":"2023-06-03T22:44:34","date_gmt":"2023-06-04T04:44:34","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26378"},"modified":"2023-06-03T22:44:34","modified_gmt":"2023-06-04T04:44:34","slug":"zip-mov-domain-extension-confusion","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/26378\/","title":{"rendered":"\u00a1Cuidado con los dominios .zip y .mov!"},"content":{"rendered":"

Estamos acostumbrados a que los nombres de los sitios web terminen en .com, .org, .net, etc. Pero en los \u00faltimos a\u00f1os han aparecido nuevas extensiones de dominio, como .aero, .club, etc., conocidos como dominios del nivel superior (TLD <\/strong>por sus siglas en ingl\u00e9s); una lista<\/a> larga que recibe nuevas incorporaciones de vez en cuando. De hecho, Google anunci\u00f3<\/a> en mayo la incorporaci\u00f3n de ocho nuevos dominios disponibles, dos de ellos id\u00e9nticos a dos extensiones de archivo populares: .zip y .mov. Este movimiento ha recibido las cr\u00edticas de expertos en TI y la seguridad de la informaci\u00f3n, ya que pr\u00e1cticamente garantiza confusi\u00f3n, un desorden en la gesti\u00f3n de enlaces y nuevos patrones de phishing.<\/p>\n

C\u00f3mo confundir .zip y .zip<\/h3>\n

Los archivos ZIP y MOV existen desde hace d\u00e9cadas: .zip es el est\u00e1ndar para archivar y .mov es uno de los contenedores de v\u00eddeo m\u00e1s populares. Google ha creado estos nuevos dominios MOV y ZIP para los t\u00e9cnicos, pero lo cierto es que ambos est\u00e1n disponibles para cualquier persona y para cualquier prop\u00f3sito.<\/p>\n

Ahora, solo el contexto puede ayudarte a determinar si un ZIP o MOV es un sitio web o un archivo cuando te encuentras, por ejemplo, con update.zip<\/u>. Sin embargo, el contexto es algo que los humanos pueden comprender, pero no los ordenadores, por lo que una referencia como esa podr\u00eda causar problemas en todo tipo de aplicaciones, como Twitter:<\/p>\n

\"Un<\/a>

Un tweet que hace referencia a archivos .zip y .mov<\/p><\/div>\n

El tuit se refiere claramente a archivos, pero Twitter convierte los nombres de los archivos en enlaces web. Si alguien registra los dominios test.zip y movie.mov, quienes hagan clic en los enlaces de los archivos pueden caer en la trampa de alg\u00fan tipo espec\u00edfico de estrategia de phishing.<\/p>\n

Esta publicaci\u00f3n<\/a> detalla c\u00f3mo el uso del dominio .zip, combinado con la sustituci\u00f3n de caracteres Unicode de aspecto similar por la barra inclinada (\/) en el enlace, permite crear una URL de phishing excepcionalmente convincente y dif\u00edcil de distinguir de los enlaces leg\u00edtimos de GitHub.<\/p>\n

\"Encuentra<\/a>

Encuentra las nueve diferencias<\/p><\/div>\n

El investigador de seguridad mr.d0x encontr\u00f3 otra forma de explotar el dominio .zip para el phishing. La t\u00e9cnica que describi\u00f3<\/a>, denominada file-archiver-in-the-browser, implica el uso de sitios que imitan la interfaz de esta herramienta. El usuario, creyendo que est\u00e1 abriendo un archivo .zip, en realidad es redirigido a un sitio con el mismo nombre y, en lugar de una lista de archivos, se encuentra con direcciones URL que pueden llevar a cualquier parte. Por ejemplo, pueden ocultar un enlace para descargar un malware ejecutable o generar una solicitud de credenciales corporativas para acceder a alg\u00fan documento. Este mismo documento tambi\u00e9n describe un mecanismo de entrega interesante utilizando el Explorador de archivos de Windows. Si el atacante logra convencer a su v\u00edctima para que busque un archivo .zip inexistente, el Explorador de archivos abrir\u00e1 autom\u00e1ticamente un sitio cuyo dominio contenga el mismo nombre.<\/p>\n

La amenaza de phishing ya es real, de hecho, se han detectado algunos sitios de phishing con dominio.zip<\/a> que explotan el tema de la actualizaci\u00f3n de Windows.<\/p>\n

Pero esta no es la primera vez que nos encontramos con una confusi\u00f3n de este tipo. Uno de los dominios originales, .com, tambi\u00e9n es una extensi\u00f3n leg\u00edtima para los ejecutables que se usan en MS-DOS (y versiones anteriores de Windows), mientras que la extensi\u00f3n .sh que se usa para los scripts de Unix es id\u00e9ntica al TLD del territorio brit\u00e1nico de ultramar de Santa Elena, Ascensi\u00f3n y Tristan de Acu\u00f1a<\/a>. Eso s\u00ed, son ZIP y MOV, populares entre la audiencia no tan t\u00e9cnica, los que tienen m\u00e1s probabilidades de causar problemas tanto a los usuarios como a los administradores de sistemas. Incluso dejando de lado el phishing por un momento, situaciones como la descrita en el tuit anterior podr\u00edan ocurrir en docenas de aplicaciones que procesan texto y resaltan enlaces de forma autom\u00e1tica. Por lo tanto, en cualquier momento, cualquier texto que contenga un nombre de archivo podr\u00eda convertirse en un texto con un hiperv\u00ednculo que dirija a un sitio web externo. Independientemente de si se trata de una estrategia de phishing o no, esto podr\u00eda causar como m\u00ednimo algunos inconvenientes o desconciertos. Visita financialstatement.zip<\/a> para comprobarlo por ti mismo.<\/p>\n

Consejos para los usuarios<\/h3>\n

La llegada de los dominios ZIP y MOV no conducir\u00e1 a un cambio dr\u00e1stico en el ecosistema del phishing y dem\u00e1s estafas online, solo a\u00f1ade una nueva arma al ya completo arsenal de los ciberdelincuentes. Por lo tanto, nuestros consejos habituales contra el phishing<\/a> siguen siendo los mismos: analiza detenidamente cualquier enlace antes de hacer clic, ten cuidado con los archivos adjuntos y URL en correos electr\u00f3nicos no solicitados, no hagas clic en enlaces sospechosos y aseg\u00farate de utilizar soluciones de seguridad adecuadas en todos tus dispositivos<\/a>, incluso en smartphones y equipos Mac.<\/p>\n

Consejos para los administradores<\/h3>\n

Algunos usuarios pueden ignorar los anteriores consejos, por lo que, dependiendo de c\u00f3mo opere tu organizaci\u00f3n, es posible que debas configurar una serie de reglas de seguridad especiales para los nombres de dominio .zip y .mov. Estas posibles medidas incluyen un escaneo de enlaces m\u00e1s estricto o incluso el bloqueo completo a los usuarios para que no visiten los sitios web de estos dominios desde los ordenadores corporativos. Nada nuevo: el dominio .bit<\/a> fue ampliamente bloqueado y se extingui\u00f3 gradualmente debido a una avalancha de enlaces maliciosos durante el 2018 y el 2019.<\/p>\n

La aparici\u00f3n de los dominios ZIP y MOV es una excelente ocasi\u00f3n para realizar, o repetir,<\/a>\u00a0<\/strong>formaciones en materia de seguridad de la informaci\u00f3n para empleados; con el foco puesto en la detecci\u00f3n de phishing.<\/p>\n\n

Recomendamos que los administradores TI prueben cualquier sistema comercial clave que procese enlaces para ver c\u00f3mo gestionan los sitios web .zip y .mov y si el uso de archivos ZIP provoca efectos no deseados. Los sistemas de correo, las aplicaciones corporativas de mensajer\u00eda instant\u00e1nea y los servicios de intercambio de archivos de los empleados deben monitorizarse de cerca, ya que es donde puede reinar la confusi\u00f3n. Las caracter\u00edsticas no deseadas, como la creaci\u00f3n autom\u00e1tica de enlaces basados en ciertos patrones de nombres, se pueden desactivar para ZIP y MOV o en general.<\/p>\n","protected":false},"excerpt":{"rendered":"

Los nombres de sitios web con dominios ZIP y MOV no se pueden diferenciar de los nombres de archivos. \u00bfC\u00f3mo afectar\u00e1 esto a los sistemas TI y qu\u00e9 har\u00e1n los actores de amenazas?<\/p>\n","protected":false},"author":2722,"featured_media":26379,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[427,107,3538,5891,412,31,614],"class_list":{"0":"post-26378","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ataques","9":"tag-consejos","10":"tag-dominios","11":"tag-formaciones","12":"tag-hackeos","13":"tag-phishing","14":"tag-riesgos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/26378\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zip-mov-domain-extension-confusion\/25696\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/21118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/28351\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zip-mov-domain-extension-confusion\/25996\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zip-mov-domain-extension-confusion\/28866\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zip-mov-domain-extension-confusion\/35343\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/48254\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zip-mov-domain-extension-confusion\/20657\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zip-mov-domain-extension-confusion\/21361\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zip-mov-domain-extension-confusion\/26304\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zip-mov-domain-extension-confusion\/32008\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zip-mov-domain-extension-confusion\/31694\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26378","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26378"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26378\/revisions"}],"predecessor-version":[{"id":26382,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26378\/revisions\/26382"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26379"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}