Typosquatting: cómo detectarlo y protegerse

7 de junio de 2023

El typosquatting es un tipo de ciberataque que consiste en crear un nombre de dominio que sea muy similar al de un sitio web conocido y legítimo con la intención de engañar a los usuarios.

Este tipo de nombre de dominio engañoso puede utilizarse también en direcciones de correo electrónico para que parezcan legítimas a simple vista, pero que son falsas.

"Typosquatting" es una combinación de las palabras "typo" (errata o error tipográfico) y "squatting" (ocupación).

Para llevar a cabo el engaño el atacante puede aprovecharse de errores comunes, de ortografía o producidos al teclear. Estos errores pueden omitir o cambiar el orden de las letras. También pueden sustituir caracteres, reemplazando letras visualmente similares. Lo que sea para crear un nombre de dominio que lleve a engaño. Por ejemplo:

  • Cambiar un "l" o una "i", la "o" por un "0" (cero) o utilizar "rn" en lugar de una "m".
  • Registrar el mismo dominio pero con diferente extensión, como ".co" en lugar de ".com".
  • Utilizar un nombre de dominio de similar apariencia, como goggle.com en lugar de google.com
Ejemplo de typosquatting en un SMS

Además, “en este tipo de ataques es muy común el uso de escrituras alternativas o de palabras con doble ortografía y también el uso de caracteres especiales, como guiones", explica Susana Alwasity, Threat Intelligence Team Lead de Telefónica Tech.

En este caso, por ejemplo:

  • Si el dominio legítimo es bancoXonline.com un typosquatting podría ser bancoX-online.com

En cualquier caso, el propósito del atacante es engañar a los usuarios para que visiten el sitio falso creyendo que están en el sitio web legítimo.

Desde ese sitio web (que puede ser igual e incluso un duplicado del sitio original) los atacantes pueden distribuir apps y software malicioso (malware) o robar información como credenciales de inicio de sesión, números de tarjetas bancarias o información personal.

¿Cómo se utiliza el typosquatting en los ciberataques?

El typosquatting es una técnica popular utilizada por los ciberdelincuentes para lanzar diferentes ataques, incluyendo:

  • Ataques de phishing: Los atacantes pueden crear una página de inicio de sesión falsa que se parece a la página de un sitio web legítimo. Cuando los usuarios escriben sus credenciales de inicio de sesión en la página falsa, el atacante se hace con ellas para utilizarlas con fines maliciosos.
  • Distribución de malware: Los atacantes pueden crear un sitio web falso que solicita a los usuarios que descarguen un archivo o un software. Cuando los usuarios descargan e instalan ese archivo en realidad están instalando en su ordenador o dispositivo un programa malicioso, sin saberlo.
  • Fraude publicitario: Los atacantes pueden crear un sitio web falso que genera ingresos publicitarios engañando a los usuarios para que hagan clic en anuncios. El atacante gana dinero por cada clic, aunque los anuncios sean irrelevantes o perjudiciales.

“Además del robo de información personal, que puede derivar en ataques de suplantación de identidad, el typosquatting también puede tener como objetivo redirigir el dominio a otro destino o el chantaje y los ataques reputacionales contra empresas o las personas”, explica Susana.

El caso de la policía nacional de Islandia

Un ejemplo de ataque de phishing basado en typosquatting tuvo lugar en Islandia en 2018. Entonces, los ciberatacantes utilizaron un nombre de dominio similar al dominio oficial de la policía nacional de Islandia (Lögreglan, en islandés) para engañar a los ciudadanos.

En este caso, los atacantes registraron un dominio que sustituía la “l” por una "i" (logregIan.is en lugar de logreglan.is), por lo que a simple vista perecía el dominio legítimo de la policía del país. Pero no lo era.

Igual que sucede en el párrafo anterior, en el email la "i" de la URL estaba escrita en mayúscula ("I") para que pareciera una "l". A simple vista, y aprovechando que a veces nuestro cerebro lee palabras que no son, muchos destinatarios no detectaron el engaño.

Al convertir el texto a versalitas se descubre el engaño: lo que parece una "L" minúscula es en realidad una "i" en mayúscula.

Después, utilizaron ese dominio para crear un sitio web falso que era exactamente igual que el sitio web legítimo. Y enviaron correos electrónicos de phishing donde solicitaban al destinatario que accediese a esa URL e introdujese información personal.

La historia completa y el análisis del ataque se puede encontrar en Police Phishing Attack Targets Bank Credentials.

¿Cómo detectar y protegerse del typosquatting?

Muchas veces, como sucedió en el caso de Lögreglan, no es fácil detectar y protegerse del typosquatting. Pero seguir estas recomendaciones de nuestros expertos de Telefónica Tech ayuda a reducir el riesgo:

  • Observa a la URL antes de acceder a un sitio web o la extensión del correo del remitente cuando se trata de un email: busca errores de ortografía u otros elementos sospechosos tanto el nombre de dominio como en su extensión TLD (.com, .es, .co...)
  • Copia y pega manualmente las URL de los enlaces recibidos por email: así se evita que la URL de destino maliciosa quede oculta bajo un texto enlazado o ancla.
  • En caso de duda sobre lo que pone realmente en una URL o dirección de email, cópiala y pégala en un procesador de textos como Word: cambiar la tipografía ayuda a detectar engaños visuales porque algunas tipografías revelan mejor que otras las diferencias entre caracteres. También ayuda convertir el texto a mayúsculas versalitas. Además Word detecta el idioma, muy útil cuando el typosquatting utiliza letras del alfabeto cirílico.
Aunque de igual apariencia, las letras 'A' y 'J' del alfabeto cirílico son caracteres distintos a la 'A' y la 'J' del alfabeto latino.
  • Utiliza un gestor de contraseñas: los gestores de contraseñas introducen automáticamente las credenciales de acceso o inicio de sesión solo en los sitios legítimos, aquellos en los que se generó la credencial.
  • Instala un software antivirus: son útiles para detectar y bloquear sitios web maliciosos que podrían utilizarse en ataques de typosquatting.
  • No te fíes del 'candadito' 🔒 en la barra del navegador: "Si el servidor suplanta a otra empresa con un certificado falso el 'candadito' no aporta seguridad," explica nuestro experto Sergio de los Santos.
  • Activa la autenticación de dos factores: la autenticación de doble factor agrega una capa adicional de seguridad, dificultando que los atacantes roben las credenciales de inicio de sesión en sitios web o apps.
  • Habilita Google Passkeys: se trata de un método de identificación o de inicio de sesión de Google que combina en el mismo proceso las ventajas de los gestores de contraseñas y de la autenticación de doble factor.

Es importante revisar cualquier mínimo detalle en una URL y desconfiar por pequeño que parezca el error. Conviene invertir tiempo en prevenir, dado que las consecuencias pueden ser dañinas e irremediables.” —Susana Alwasity, Telefónica Tech.

¿Cómo protege Google Passkeys contra el typosquatting?

Google Passkeys genera contraseñas únicas y complejas para cada sitio web que visita el usuario. Cuando el usuario visita un sitio web, Google Passkeys completa automáticamente las credenciales de inicio de sesión, como el nombre de usuario y la contraseña.

Con Google Passkeys no es necesario ni recordar ni escribir la contraseña en apps y sitios web, lo que minimiza el riesgo de que el usuario teclee por error sus credenciales de inicio de sesión en un sitio web falso.

Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas
Cyber Security
Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas
1 de junio de 2023

Siguiendo con el ejemplo anterior, si un usuario que intenta visitar google.com acaba por error en goggle.com Google Passkeys no funcionará porque existe una diferencia en el dominio. De modo que no introducirá automáticamente las credenciales de inicio de sesión. Si sucede esto lo mejor es abandonar el sitio web, sin intentar introducir a mano las credenciales.

Conclusión

El typosquatting es una ciberamenaza que puede resultar en robo de identidad o de cuentas, pérdidas económicas y de reputación o que puede desembocar en el secuestro de datos con petición de rescate (ransomware), entre otras posibles consecuencias.

Por tanto, siempre es importante prestar atención a las URL y a las direcciones de email que puedan resultar sospechosas o de origen desconocido, para minimizar el riesgo y protegerse de este tipo de ciberataque.

Imagen de apertura de Freepik.