¿Qué es Typosquatting?

El typosquatting (literalmente, “ocupación de errores tipográficos”), también conocido como secuestro de URL (URL hijacking), es un ciberdelito oportunista que saca provecho de los errores tipográficos que cometen los internautas al introducir la dirección de un sitio web. Su metodología es sorprendentemente sencilla pero engañosamente eficaz. Los agentes de la amenaza crean y registran dominios similares a sitios web populares, pero con errores tipográficos comunes para aprovecharse de los usuarios desprevenidos que teclean mal las URL.

La técnica es similar a la de los dominios parecidos (o lookalike domains). Pero a diferencia de los dominios parecidos, en los que los atacantes registran dominios de apariencia confusamente similar a los de marcas de confianza, el typosquatting trata de aprovecharse de la torpeza de los usuarios con el teclado.

El typosquatting ha sido decisivo para ejecutar ataques de phishing, propagar malware y cometer infracciones de derechos de autor, entre otras actividades ilícitas. Por ejemplo, el infame incidente del hackeo de las elecciones estadounidenses de 2016 se atribuyó en parte al typosquatting, lo que ilustra su potencial como herramienta de manipulación política.

En una era en la que la ciberseguridad es primordial, comprender y contrarrestar el typosquatting es fundamental. Más allá de comprender la definición de typosquatting, este artículo profundiza en sus entresijos, los diferentes tipos y las medidas preventivas para protegerse contra estas ciberamenazas.

Comprender la dinámica del cybersquatting y del typosquatting es crucial para reconocer las amenazas únicas que presentan e idear contramedidas eficaces. Aunque ambas explotan los sistemas de nombres de dominio para obtener beneficios malintencionados, sus estrategias las diferencian.

Typosquatting

El typosquatting, como ya se ha indicado, es una técnica en la que los delincuentes crean y registran dominios que imitan a sitios web populares, pero con ligeras alteraciones tipográficas. El objetivo es dirigir a los usuarios que teclean mal las URL a estos sitios fraudulentos. Los typosquatters (como se les llama a estos perpetradores) suelen aprovechar errores tipográficos comunes, como omisiones (por ejemplo, “gogle” en lugar de “google”), transposiciones (“gogole” en lugar de “google”) o TLD incorrectos (por ejemplo, “.cm” en lugar de “.com”).

Cybersquatting

El cybersquatting (literalmente "ciberocupación"), por su parte, consiste en registrar nombres de dominio idénticos o asombrosamente similares a marcas o nombres comerciales conocidos para lucrarse con ellos. Los ciberocupas se aprovechan principalmente de la mecánica natural del registro de dominios, que se hace por orden de llegada. A menudo venden el dominio al propietario legítimo de la marca a un precio inflado o utilizan la semejanza del dominio con una marca popular para atraer tráfico y generar ingresos publicitarios.

Estadísticamente, ambas prácticas representan importantes ciberamenazas. Un estudio realizado en 2019 por Palo Alto Networks, reveló que alrededor de 13.857 dominios de typosquatting se dirigían a los 500 sitios web más visitados de todo el mundo. Mientras tanto, la Organización Mundial de la Propiedad Intelectual (OMPI) informó de 5.423 casos de cybersquatting sólo en 2022. Estas cifras refuerzan la necesidad de vigilancia y de medidas sólidas de ciberseguridad para contrarrestar estas amenazas en constante evolución.

El typosquatting, como su nombre indica, se basa en gran medida en la inevitabilidad del error humano, concretamente, en los errores tipográficos cometidos al teclear la URL de un sitio web en un navegador. El typosquatter registra estratégicamente nombres de dominio que explotan los errores tipográficos comunes para atraer a usuarios desprevenidos a sus sitios web de imitación. A continuación, se describen las principales formas en que los typosquatters manipulan los nombres de dominio:

• Errores ortográficos: Éste es quizá el método más sencillo. Los typosquatters registran dominios que son errores ortográficos cercanos de sitios web populares. Por ejemplo, si un usuario pretendía visitar “www.wikipedia.org” y tecleó por error “www.wikipedai.org”, podría ser redirigido a un sitio de typosquatting.
• Omisiones: En este caso, los typosquatters se anticipan a los errores que pueden cometer los usuarios al omitir una letra de un nombre de dominio. Por ejemplo, teclear “www.gogle.com” en lugar de “www.google.com” podría llevar a un usuario a un sitio web falso.
• Transposiciones: Los usuarios a veces cambian el orden de las letras mientras teclean rápidamente. Un typosquatter podría registrar un dominio como “www.faecbook.com”, previendo que algunos usuarios transponen la “e” y la “c” en “facebook”.
• Dominios de nivel superior (TLD) erróneos: Los dominios de nivel superior, o TLD (del inglés top level domain) son los sufijos al final de un nombre de dominio como .com, .net, .org, etc. A veces, los usuarios utilizan erróneamente el TLD equivocado al escribir una URL. Por ejemplo, los usuarios podrían escribir “www.amazon.co” en lugar de “www.amazon.com”.
• Añadir caracteres extra: Los atacantes también registran dominios en los que los usuarios podrían añadir caracteres extra por error. Por ejemplo, teclear “www.faceboook.com” en lugar de “www.facebook.com” puede conducir a un sitio engañoso.
• Ocupación de subdominios: En este caso, el typosquatter añade un nombre de dominio popular como subdominio de un dominio menos significativo. Por ejemplo, un typosquatter podría registrar “www.google.scamwebsite.com”. Los usuarios pueden pasar por alto el dominio real y creer que se encuentran en un sitio legítimo de Google.
• Guiones: Los usuarios olvidan a menudo añadir guiones en los nombres de dominio o los añaden donde no deben. Por ejemplo, “www.face-book.com” o “www.face--book.com”.

En todos estos escenarios, una vez que los usuarios aterrizan en el sitio web de typosquatting pueden enfrentarse a diversas amenazas de seguridad, desde intentos de phishing y descargas de malware hasta publicidad intrusiva. A menudo, los usuarios no se dan cuenta de que están en un sitio fraudulento, sobre todo si el typosquatter ha imitado la apariencia del sitio legítimo. Esto convierte al typosquatting en una sutil, pero potente amenaza para la ciberseguridad.

Aunque el typosquatting se refiere en términos generales a la práctica de registrar nombres de dominio mal escritos, existen varios tipos, cada uno con sus propios objetivos. He aquí un resumen de los tipos más comunes:

Typosquatting de phishing

Al igual que la mayoría de los esquemas de phishing, esta forma de typosquatting se utiliza principalmente para robar datos confidenciales de los usuarios. Una vez que los usuarios aterrizan en el sitio falso de los ciberdelincuentes, se les pide que introduzcan información personal o financiera (como credenciales de inicio de sesión o números de tarjetas de crédito). El diseño del sitio suele ser convincentemente similar al del sitio legítimo, lo que dificulta que los usuarios se den cuenta del engaño.

Typosquatting de malware

En este tipo, los sitios de typosquatting se utilizan como plataforma para instalar malware en los dispositivos de los usuarios. Una vez que un usuario aterriza en el sitio, podría descargar involuntariamente software dañino, que luego podría robar datos, corromper archivos o tomar el control del dispositivo.

Typosquatting publicitario

El objetivo principal en este caso es generar ingresos publicitarios. El sitio de typosquatting suele estar lleno de anuncios; el typosquatter gana dinero cada vez que un usuario ve o hace clic en uno de estos anuncios. Aunque no es tan inmediatamente perjudicial como otros tipos, el typosquatting publicitario puede seguir siendo una molestia y provocar una pérdida de tiempo y recursos.

Typosquatting dañino para la reputación

El objetivo en este caso es perjudicar la reputación de un sitio legítimo. El sitio con typosquatting suele contener contenidos perjudiciales o negativos asociados a la marca legítima, empañando así su imagen a los ojos de los usuarios que aterrizan en él.

Venta del dominio falso

En algunos casos, los typosquatters registran nombres de dominio mal escritos para venderlos al propietario del sitio legítimo a un precio inflado. Aunque molesta, se trata más bien de una táctica oportunista y no suele perjudicar directamente a los usuarios.

Typosquatting de desviación del tráfico

En este caso, el objetivo es desviar el tráfico del sitio legítimo al sitio de un competidor. Los usuarios que teclean mal la URL son redirigidos al sitio del competidor, lo que le proporciona tráfico adicional y potencialmente resta negocio al sitio legítimo.

Estos tipos de typosquatting ilustran las diversas formas en que puede emplearse esta técnica con fines maliciosos. Cada uno de ellos plantea riesgos únicos que requieren medidas preventivas específicas para mitigar los posibles daños.

El typosquatting se ha utilizado en una multitud de ciberataques a lo largo de los años, afectando desde a grandes empresas hasta a elecciones nacionales. He aquí algunos ejemplos notables:

• Google: El sitio de typosquatting de Google, Goggle.com, fue tristemente célebre por descargar malware en los dispositivos de los visitantes del sitio web. El malware mostraba ventanas emergentes de spam que contenían imágenes pornográficas. También descargaba un programa antivirus falso llamado SpySheriff que dañaba los dispositivos de las víctimas.
• Typosquatting del IRS: En un ejemplo más nefasto, los delincuentes crearon sitios web que imitaban el sitio web oficial del IRS (la agencia tributaria de EE.UU.) para estafar a los contribuyentes. A los usuarios que aterrizaban accidentalmente en estos sitios se les pedía que introdujeran información personal y financiera, lo que provocaba robos de identidad y pérdidas económicas.
• Typosquatting del Censo de EE.UU. de 2020: En el periodo previo al Censo de EE.UU. de 2020, se registraron diversos dominios con errores tipográficos que se parecían el sitio web oficial de la Oficina del Censo. Estos sitios falsos tenían como objetivo recopilar información personal de los visitantes o difundir información errónea sobre el proceso del censo.
• Typosquatting durante el COVID-19: Durante la pandemia se produjo un aumento del typosquatting, en la que actores malintencionados crearon dominios que se asemejaban a sitios legítimos que ofrecían información o servicios relacionados con COVID-19. La Organización Mundial de la Salud y otros organismos sanitarios emitieron advertencias e informes sobre estos sitios fraudulentos cuyo objetivo era propagar programas maliciosos o robar información personal.
• Typosquatting de Amazon: Amazon también ha sido un objetivo frecuente de los typosquatters. Un caso notable fue el de un dominio llamado “Amazan.com”, que redirigía a los usuarios a una página llena de anuncios al tiempo que intentaba instalar programas potencialmente no deseados (o PUP) en los ordenadores de los usuarios.

Estos ejemplos de typosquatting del mundo real demuestran los diversos tipos y objetivos que existen, desde el beneficio económico hasta la difusión de información errónea.

El typosquatting puede parecer un simple acto de engaño, pero alberga consecuencias graves y de gran alcance que afectan tanto a empresas como a particulares. He aquí algunos de los principales peligros asociados al typosquatting:

• Robo de datos: El riesgo más directo del typosquatting es el robo de datos. El typosquatting de phishing puede engañar a los usuarios para que introduzcan datos personales o financieros, como credenciales de acceso o información de tarjetas de crédito, en un sitio falso. Estos datos pueden utilizarse después para el robo de identidad, el fraude financiero o venderse en la web oscura.
• Infecciones por malware: Algunos sitios con typosquatting pretenden infectar los dispositivos de los visitantes con malware. Este malware puede adoptar muchas formas, como spyware, ransomware y troyanos, y puede robar datos, causar daños en el sistema o incluso permitir al atacante hacerse con el control del dispositivo.
• Pérdidas financieras: El typosquatting puede provocar pérdidas financieras directas. Esto podría resultar de transacciones fraudulentas utilizando datos financieros robados o pagos de rescates exigidos por infecciones de ransomware.
• Daños a la reputación: Para las empresas, este tipo de fraudes puede causar un daño significativo a su reputación. Los clientes que asocian una marca con una experiencia negativa en un sitio con typosquatting pueden perder la confianza en el negocio legítimo.
• Oportunidades de negocio perdidas: El tráfico perdido a causa del typosquatting puede provocar la pérdida de ventas de un negocio. Los usuarios que pretendían visitar un sitio en particular pueden acabar en un sitio fraudulento, lo que puede suponer una pérdida de negocio.
• Complicaciones legales: Las empresas pueden tener que emprender costosas y largas batallas legales para recuperar el control de los nombres de dominio de manos de los typosquatters.
• Difusión de información errónea: Los sitios web de typosquatting pueden difundir información falsa, ya sea para dañar la reputación del sitio legítimo o para manipular la opinión pública o el comportamiento, como se vio en el ejemplo del Censo de EE.UU. de 2020.

El daño potencial causado por el typosquatting es enorme, lo que subraya la importancia tanto de unas medidas de ciberseguridad sólidas como de la educación de los usuarios para reconocer y evitar estas amenazas.

Los peligros que plantea el typosquatting exigen tomar medidas proactivas para una defensa eficaz. He aquí algunas medidas que pueden emplear tanto los particulares como las organizaciones:

Para los usuarios:

1. Compruebe dos veces las URL: Compruebe siempre dos veces la URL que ha escrito antes de pulsar el botón de “enter”, especialmente cuando visite sitios en los que vaya a introducir información personal o financiera.
2. Utilice marcadores: Para los sitios web que visita con frecuencia, especialmente los relacionados con operaciones bancarias, correo electrónico o compras, utilice marcadores para evitar teclear la URL.
3. Instale software de seguridad: Utilice un software de seguridad completo que le advierta sobre los sitios web no seguros y bloquee las descargas maliciosas.
4. Actualice la configuración de seguridad del navegador: Los ajustes de seguridad de la mayoría de los navegadores web modernos pueden advertirle sobre sitios web sospechosos. Asegúrese de que estos ajustes están activados y se mantienen actualizados.
5. Sea escéptico con las comunicaciones no solicitadas: Desconfíe de los correos electrónicos no solicitados o de los mensajes con enlaces web, aunque parezcan proceder de empresas de confianza. Si no está seguro, póngase en contacto directamente con la empresa a través de sus canales de contacto oficiales para verificarlo.

Para organizaciones:

1. Registre los errores ortográficos comunes de su dominio: Registre de forma proactiva los nombres de dominio que sean errores ortográficos o tipográficos comunes de su dominio. Estos pueden redirigir a los usuarios a su sitio correcto, protegiéndolos de posibles daños y asegurándose de no perder tráfico.
2. Supervise los dominios con typosquatting: Utilice los servicios de supervisión de dominios para que le avisen cuando se registren dominios muy parecidos a los suyos. De este modo, podrá reaccionar con mayor rapidez ante posibles amenazas
3. Emplee medidas legales: Si se descubre un dominio con typosquatting, considere la posibilidad de emprender acciones legales para recuperar el control del dominio. Esto puede resultar complejo y llevar mucho tiempo, pero a menudo es necesario para proteger su marca.
4. Implemente la autenticación de mensajes basada en el dominio (DMARC): DMARC puede ayudar a prevenir la suplantación de identidad de los mensajes de correo electrónico, protegiendo a sus clientes y a su marca de los intentos de phishing.
5. Informe a sus clientes: Conciencie a sus clientes de los peligros del typosquatting y proporcióneles herramientas y conocimientos para asegurarse de que acceden a su sitio auténtico.

La protección contra el typosquatting requiere una combinación de soluciones tecnológicas, acciones legales y concienciación de los usuarios. Al abordar de forma proactiva esta amenaza, los individuos y las organizaciones pueden reducir en gran medida los riesgos que plantea el typosquatting.

Navegar por el panorama digital puede ser traicionero, dada la amenaza cambiante del typosquatting. Proofpoint ofrece soluciones integrales para proteger a las organizaciones y a sus clientes de esta y otras ciberamenazas.

Domain Discover de Proofpoint proporciona sólidos servicios de supervisión de dominios. Le ayuda a identificar dominios maliciosos registrados por typosquatters, salvaguardando su marca de suplantaciones y fraudes. Proporciona alertas en tiempo real, lo que le permite tomar medidas rápidas contra los dominios sospechosos que supongan un riesgo para su organización o sus clientes.

Además, la solución Digital Risk Protection de Proofpoint ofrece una protección avanzada que va más allá del perímetro tradicional. Supervisa de forma exhaustiva los dominios con erratas, las aplicaciones móviles falsas, las cuentas de redes sociales fraudulentas y mucho más. Al garantizar una protección digital continua y amplia, Proofpoint ayuda a prevenir las amenazas antes de que puedan causar daños.

Para hacer frente a la amenaza de la suplantación de identidad por correo electrónico asociada a el typosquatting, Email Fraud Defense de Proofpoint utiliza DMARC para autenticar la identidad del remitente, protegiéndole a usted y a sus clientes de las estafas de phishing.

La ciberseguridad no es una solución única, sino un proceso continuo. Proofpoint innova continuamente para adelantarse a las últimas amenazas, proporcionándole la tranquilidad necesaria para llevar a cabo su negocio con seguridad y confianza. Para obtener más información, póngase en contacto con Proofpoint o conozca más acerca de las soluciones de Proofpoint.