Los dominios web se han convertido en un elemento clave para la presencia online de las empresas y particulares. Y es que, un buen dominio no solo mejora la visibilidad y el reconocimiento de una marca, sino que también puede influir en el éxito de un negocio en Internet. Sin embargo, existe un riesgo importante al que debemos prestar atención: el fraude en el registro de dominios.
El fraude de dominios puede tomar muchas formas, desde la venta de dominios inexistentes hasta tácticas más sofisticadas como la suplantación de identidad o el phishing. Estos engaños no solo dan como resultado pérdidas económicas, sino que también pueden dañar la reputación de una marca y su confianza online. Por lo tanto, es esencial estar informado y preparado para identificar y evitar estas trampas.
Índice de temas
DNS y TLD
Pero antes de profundizar en qué consisten los robos y fraudes en el registro de dominios conviene aclarar algunos términos importantes en este asunto: DNS y TLD.
DNS: Domain Name System
DNS (o sistema de nombres de dominio), es el directorio telefónico de Internet. Las personas acceden a la información en línea a través de nombres de dominio como redestelecom.es. Los navegadores web interactúan mediante direcciones de Protocolo de Internet (IP). El DNS traduce los nombres de dominio a direcciones IP para que los navegadores puedan cargar los recursos de Internet. Es decir, convierte un nombre de servidor (como www.example.com) en una dirección IP compatible con el ordenador (como 192.168.1.1).
Cada dispositivo conectado a Internet tiene una dirección IP única que otros equipos pueden usar para encontrarlo. Los servidores DNS suprimen la necesidad de que los humanos memoricen direcciones IP tales como 192.168.1.1 (en IPv4) o nuevas direcciones IP alfanuméricas más complejas, tales como 2400:cb00:2048:1::c629:d7a2 (en IPv6).
TLD: Top-Level Domain
TLD es un dominio de nivel superior. En la jerarquía de DNS, un TLD representa la primera parada después de la zona raíz. Dicho de forma más sencilla, un TLD es todo lo que va después del punto final de un nombre de dominio. Por ejemplo, en el nombre de dominio “redestelecom.es”, ‘.es’ es el TLD.
La Corporación de Internet para nombres y números asignados (ICANN) tiene autoridad sobre todos los TLD utilizados en Internet, y delega la responsabilidad de estos en varias organizaciones. Como Red.es, la entidad encargada de la autoridad de registro de los nombres de dominio de Internet bajo el indicativo de primer nivel correspondiente al país de España (.es).
Lookalike domain: parece, pero no es
Teniendo en cuenta estos aspectos ya podemos empezar a hablar de lookalike domain, un dominio de Internet con una denominación y aspecto parecido – a veces incluso indistinguible- al del dominio legítimo, y que es utilizado por los actores de ciberamenazas para engañar a los usuarios, redirigirles a sitios maliciosos con intención de llevar a cabo ataques de diversa índole.
Según un informe de Infoblox los lookalike domains están vinculados generalmente a ataques masivos, no específicos, realizados utilizando diferentes vectores de ataque, como spam de correo electrónico, banners publicitarios, redes sociales y mensajes SMS. Diariamente se registran miles de nuevos dominios que imitan las páginas de proveedores de software populares, proveedores de servicios, instituciones financieras, sitios de criptomonedas y servicios de soporte, entre otros. El objetivo, en la mayoría de los casos es redirigir al usuario a una web fraudulenta y obtener credenciales y datos personales y financieros de las víctimas. Asimismo, buscan infectar las máquinas con malware (ataques C2, Command and Control) y poder acceder a redes corporativas y hacerse con el control de sistemas.
Mensajes SMS, llamadas telefónicas, spam y códigos QR son los principales métodos utilizados por los actores para la difusión de estos lookalike domains
Estos dominios son cada vez más sofisticados: no se limitan a imitar el aspecto de los legítimos hasta el punto de ser idénticos, sino que llegan a incluir los sistemas de autenticación multifactor (MFA) del dominio plagiado, para incrementar la credibilidad del sitio y hacer pensar al usuario que la conexión es segura.
Uno de los factores que promueven el uso de esta técnica de engaño es que es muy rentable, porque resulta barato registrar nombres de dominio y da la capacidad de realizar ataques a gran escala. Los atacantes tienen la ventaja de la escala mientras que las técnicas para identificar la actividad maliciosa van siempre un paso por detrás.
Registro de dominios a precio de saldo
Si bien el coste de un dominio web depende de múltiples factores, desde el registrador que elijas hasta la protección adicional de la privacidad, podemos decir que el precio más bajo ronda los 10-15 euros al año y el más alto no suele superar los 100 euros.
¿Por qué esa diferencia? Porque a la hora de comprar un dominio hay que diferenciar entre direcciones libres o dominios ya adjudicados. En el segundo caso, los precios pueden ser enormemente altos, dependiendo de la demanda, y siempre y cuando el dominio adjudicado esté a la venta. Sin embargo, para muchos usuarios son más interesantes los precios de los dominios que aún están libres. Estos dependen únicamente del dominio de nivel superior (TLD) deseado.
El precio más bajo de registro de dominios web ronda los 10-15 euros al año y el más alto no suele superar los 100 euros
Los dominios más antiguos de nivel superior son, en comparación, más baratos y es por eso por lo que son la primera opción para muchos. No obstante, hay que tener en cuenta que muchas combinaciones en esta modalidad ya están adjudicadas. Los TLD nuevos ofrecen mucha más variedad. Las alternativas a los dominios .es pueden adaptarse mejor una oferta específica. Un dominio .io es muy apropiado, por ejemplo, para empresas emergentes de informática.
Por otra parte, el precio variará en función de si se trata de un dominio .es. .com, .org, .net, etcétera, y de la cantidad de espacio de almacenamiento que se contrate para alojar contenidos.
Sea como fuere, estamos hablando de un tope máximo de 100 euros al año para dominios más específicos. Un precio de saldo… para los trastornos económicos que puede ocasionar un uso fraudulento del mismo.
Tácticas para generar dominios similares fraudulentos
Como hemos mencionado antes, los ataques siguen aumentando y cada vez se emplean fórmulas más ingeniosas para estafar. Y es que, no hay un único método cuando se trata de generar dominios fraudulentos, como explican desde Infoblox. Los criminales utilizan una serie de tácticas, entre ellas podríamos citar:
Homógrafos
Es la técnica más tradicional. Buscar nombres de dominio en los que sólo varíe algún carácter, que es similar al original. Por ejemplo, teclear “go0gle” en vez “google”. En estos casos el error tipográfico es evidente. Sin embargo, las posibilidades de engaño se han disparado a partir de la aceptación de caracteres Unicode para incluir caracteres diferentes al alfabeto latino. Se dan casos de símbolos que son absolutamente idénticos en apariencia pero que responden a caracteres Unicode distintos. Por ejemplo, hay dos caracteres cirílicos absolutamente idénticos a la “c” y la “o” latinas, y se dio el caso de un registro fraudulento de Microsoft[.]com en el que ni la “c” ni la “o” eran realmente esos caracteres.
Typosquats
Buscan aprovechar los errores del usuario al introducir por teclado el nombre del sitio. Por ejemplo, caracteres duplicados, dominios alternativos, etc. Algunas organizaciones tratan de evitar esto registrando a su nombre variantes posibles de su dominio, pero muchas veces las combinaciones son tantas que es prácticamente imposible agotar todos los casos. El objetivo principal de este tipo de dominios fraudulentos suele ser la monetización, generar tráfico al sitio fraudulento para vender publicidad o tratar de revender el dominio a su propietario legítimo.
Combosquats
Consiste en combinar el nombre de un nombre de dominio muy conocido con otras palabras clave, como “soporte”, “ayuda”, “seguridad” o “contacto”. Por ello suele afectar a empresas de software o proveedores de servicios, ya que, si el usuario busca en un buscador la palabra del proveedor y otra de estas palabras clave, puede aparecerle este tipo de dominios fraudulentos, por ejemplo “wordpress” y “support”. Un estudio realizado hace algunos años sobre 468 millones de registros DNS puso de manifiesto, con relación al uso de esta técnica que:
- Los dominios combosquat son 100 veces más frecuentes que los dominios typosquat
- El 60 % de este tipo de dominios fraudulentos están activos durante más de 1000 días
- El 20 % de ellos aparecen en al menos una lista de bloqueo pública 100 días después de las resoluciones iniciales
Soundsquats
Consiste en utilizar nombres de dominio que, aunque no se escriban igual sí se pronuncien igual. Esta técnica ha cobrado importancia con el desarrollo de sistemas de reconocimiento de voz como Alexa, Siri y Google Voice, y se utiliza en combinación con las anteriores, sobre todo si además su ortografía es parecida.
Otras variedades relacionadas
Por último, mencionar una forma más específica de uso de sites fraudulentos. Se trata de dominios fraudulentos utilizados como repositorios de paquetes de determinados lenguajes de programación populares, como Python. Se utilizan las técnicas anteriores para dirigir al programador a sitios fraudulentos con bibliotecas de esos lenguajes que incluyen scripts maliciosos, burlando los mecanismos de seguridad.
La amenaza del phishing
Ante este panorama, la nueva fuerza del fraude de dominios está impulsando el resurgimiento de otra forma de ataque conocida: el phishing.
A pesar de ser un elemento fijo del panorama de amenazas desde hace algún tiempo, la incidencia de los ataques de phishing ha disminuido ligeramente: según el informe State of the Phish 2024 de Proofpoint, el 67% de las organizaciones encuestadas en España experimentó al menos un ataque de phishing exitoso en 2023 frente al 90% del año anterior. Aun así, las consecuencias negativas son mayores: las sanciones financieras, como multas reglamentarias, aumentaron un 25%; y los daños a la reputación reportados, en un 56%.
La clave del éxito de este modo de ataques es que se dirigen a personas en lugar de a tecnologías, y el fraude de dominios es una de las herramientas del arsenal de los cibercriminales para lanzar ataques más precisos, dirigidos y basados en ingeniería social, como pueden ser los de compromiso de correo electrónico corporativo (BEC, por sus siglas en inglés). Proofpoint detecta actualmente una media de 66 millones de este tipo de ataques al mes.
Si un atacante consigue las credenciales de un cliente para acceder al sitio web, no solo obtiene acceso a cualquier dato personal que se guarde sobre ese cliente. También se arma con todo lo necesario para un ataque de introducción de contraseñas, por lo que puede acceder de forma fraudulenta a las cuentas de los clientes en otras organizaciones utilizando la combinación de usuario y contraseña que tenía para ese sitio web.
A pesar de los constantes avisos de la comunidad de ciberseguridad, el uso de las mismas credenciales de acceso en varios sitios es frustrantemente común. La realidad es que muchos usuarios siguen optando por prácticas poco seguras como usar siempre la misma o utilizar combinaciones fáciles de adivinar. Esto lo confirman expertos como Kaspersky, quien alerta de que sigue habiendo un 20% de españoles que utilizan la misma contraseña para diferentes cuentas. Una práctica poco recomendable frente a las recomendaciones de revisar las claves existentes y crear nuevas más seguras (largas, con minúsculas, mayúsculas y caracteres especiales).
Cuantificar el coste del fraude de dominios
No proteger adecuadamente la huella digital frente a dominios fraudulentos no sólo pone a los clientes de la organización en riesgo de fraude, estafas y robo de identidad, sino que también puede tener graves consecuencias desde el punto de vista de negocio.
La simple ocupación ilegal de dominios puede generar un coste para las compañías. Los dominios falsificados pueden desviar el tráfico de su sitio, llevándose consigo los ingresos por publicidad. O, peor aún, vender productos o servicios falsificados, lo que afectaría a los ingresos y dañaría la confianza de los consumidores.
Por poner números, el proyecto Methbot, que falsificó 6.000 dominios estadounidenses en 2016, desvió 5 millones de dólares de ingresos fraudulentos al día.
Si a esta mezcla le añadimos un ataque de phishing nos enfrentamos potencialmente a un problema mucho mayor: el daño reputacional a largo plazo.
Cómo proteger la huella digital
La huella digital es parte clave de las empresas, ya que proporciona un vínculo vital entre la compañía y sus clientes y da forma a su experiencia con la marca. Desafortunadamente, esta presencia web también expone a las compañías al riesgo digital, particularmente cuando se trata de fraude de dominios, ya que se ataca a la empresa y a sus clientes a través de una infraestructura que, a menudo, está fuera del control de la propia organización.
Para asegurarse de que protegen su huella digital y, a su vez, a sus clientes y su reputación, las empresas necesitan recuperar el control de la infraestructura digital. Es probable que muchas ya hayan tomado precauciones para proteger sus dominios legítimos frente a posibles ataques, pero ahora deben hacer lo mismo con los dominios similares, sospechosos o infractores.
Lo primero sería examinar los registros de dominios para averiguar qué TLD están disponibles con su nombre de dominio y cuáles están registrados. Lo siguiente sería tomar medidas contra aquellos que puedan estar violando la marca o puedan representar un riesgo para la seguridad. Así, es recomendable comprar dominios similares al propio, incluidos los que tienen errores ortográficos habituales y los que tienen TLD alternativos.
La empresa debe supervisar continuamente el espacio que rodea su huella digital para detectar actividades sospechosas, como los nuevos registros de dominios. Para mantenerse al día con el aumento del uso de dominios fraudulentos por parte de los ciberdelincuentes, es vital adoptar un enfoque proactivo, aprovechando todas las herramientas disponibles para proteger sus ingresos, su reputación y a sus propios clientes.
Entre estas herramientas relacionadas con el registro de dominios y su uso fraudulento podemos mencionar dos: DMARC y WHOIS.
DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocolo de validación de correo electrónico diseñado para proteger los nombres de dominio de un uso indebido por parte de ciberdelincuentes. Autentifica la identidad del remitente antes de permitir que un mensaje llegue a su destino. Tiene tres niveles de protección: monitorización, cuarentena y rechazo, siendo este último el más seguro para evitar que los emails sospechosos aparezcan en la bandeja de entrada.
WHOIS
WHOIS (del inglés who is, “quién es”) es un protocolo TCP basado en petición/respuesta para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet. Es una de las herramientas más útiles para obtener información sobre un dominio. WHOIS te permite ver quién es el propietario actual del dominio, cuándo fue registrado y cuándo expira. También puedes ver detalles sobre el registrador y el estado actual del dominio.
Cómo recuperar mi dominio robado
Incluso con todas las precauciones, existe la posibilidad de encontrarse con un fraude en el registro de dominios. Si esto ocurriera:
- Recopila todos los datos: guarda copias de todas las comunicaciones, recibos, acuerdos de transferencia y otros documentos relacionados con la compra. Estos registros pueden ser cruciales en caso de disputas o problemas legales.
- Contacta con tu método de pago: si hiciste el pago a través de una tarjeta de crédito o un sistema de pagos online, contacta con ellos inmediatamente. Muchos de estos servicios tienen políticas de protección al comprador y podrían ayudarte a recuperar tu dinero.
- Informa a las autoridades: dependiendo de tu ubicación, deberías informar el fraude a las autoridades pertinentes. Esto puede incluir la policía local, agencias de protección al consumidor o incluso organismos de aplicación de la ley en internet.
- Contacta con el registrador de dominios: informa al registrador de dominios sobre el fraude. Aunque podrían no poder ayudarte directamente a recuperar el dominio o el dinero, pueden tomar medidas contra el vendedor fraudulento.
- Considera la asesoría legal: si el fraude involucra una suma significativa de dinero o un dominio de alto valor, podría ser prudente buscar asesoramiento legal para explorar tus opciones.
- Refuerza tus medidas de seguridad: aprovecha esta experiencia para revisar y fortalecer tus prácticas de seguridad en futuras compras de dominios.
