Los lectores del periódico británico Guardian, ya saben que su larga historia de errores tipográficos es responsable de su apodo “the Graun”. Victoriosamente, la respuesta del periódico ha sido la de aceptar este aspecto de su identidad de marca – de hecho, si usted llega a escribir mal “guardian.com” como “grauniad.com” igualmente llegará a la página oficial de Guardian.

Al registrar “grauniad.com”, Guardian también ha logrado salvar a sus lectores de ser víctimas de actores de amenazas que dependen del typosquatting.

También conocido como URL hijacking o el imitador de dominios, el typosquatting es una técnica que es tan vieja como el internet. Los ciberdelincuentes usan el nombre de los dominios que son similares a las páginas web oficiales o marcas populares (piense en “Google.com”, o “Facebook.com”) para poner simples pero efectivas trampas para los usuarios de internet que cometen errores tipográficos cuando entran alguna dirección en sus browsers.

Estas páginas normalmente se verán como las oficiales, pero están diseñadas para:

  • Engañar a visitantes a dar su información de acceso, información personal o financiera (phishing)

  • Distribuir malware

  • Mostrar propaganda fraudulenta, lo que genera ganancias a los criminales a través de cosas como el fraude de pago por clic

  • Dañar la reputación de marcas legítimas. Esta forma de typosquatting, conocida como ‘brandjacking’ usualmente es usada por activistas para afectar a políticos y grandes compañías. Greenpeace, por ejemplo, a usado el brandjacking para crear conciencia sobre el devastador impacto ambiental que genera la dependencia que tiene Nestlé en el aceite de palma de Indonesia.

El problema con .ml

En 2019, las compañías holandesas observaron un pico en los ciberataques que aprovechaban las similitudes entre el dominio de los Países Bajos (.nl) y el de Malí (.ml). 

El registro de una dirección .ml era gratuito durante los primeros 12 meses, lo que les facilitaba mucho a los actores de amenazas la suplantación de direcciones asociadas con la aerolínea holandesa de carga Martinair, KLM Royal Dutch Airlines y la multinacional de seguros de vida Aegon (entre otras).

Estos sitios se utilizaron principalmente para la recolección de credenciales y el lanzamiento de ataques de whaling.

Pero no siempre fueron los actores de amenazas los que convirtieron el dominio de Malí en una fuente de preocupación para los equipos de seguridad. De hecho, la mayoría de las veces fueron los militares estadounidenses.

Perdóneme, pero está mostrando sus cartas: "No divulgable al público ni a gobiernos extranjeros".

La versión más inocente del typosquatting es el 'typo leaking'. Suele ocurrir cuando dos direcciones o dominios legítimos son tan parecidos que los usuarios frecuentemente suelen desviar sus comunicaciones por error. Como no hay delincuencia de por medio, no suele causar daños reales. 

Sin embargo, en julio de 2023, el FT informó que un error tipográfico había desviado millones de correos electrónicos de militares estadounidenses a Malí. 

El identificador de país de Malí es .ml y el sufijo de todas las direcciones de correo electrónico de militares estadounidenses es .mil - como dice el viejo chiste, esto creó numerosos problemas entre la silla y el teclado.

Johannes Zuurbier, un empresario holandés de Internet que gestionaba el dominio del país de Malí, llevaba casi diez años intentando que EE.UU. le prestara atención. 

Zuurbier escribió al Pentágono en julio de 2023 que "este riesgo es real y podría ser explotado por adversarios de EE.UU.". Su sensación palpable de urgencia era entendible. El 24 de julio de 2023, el control del dominio .ml pasó de Zuurbier al gobierno de Malí, que está estrechamente aliado con Rusia.

A pesar de que gran parte de los correos interceptados por Zuurbier eran spam, otra parte no lo eran.

Según el FT, Malí recibió el itinerario de viaje completo del general James McConville, jefe del personal del ejército estadounidense, y su delegación a Indonesia antes de la visita oficial en mayo de 2023.

Resultó aún más alarmante que un agente del FBI con funciones navales intentó enviar seis correos electrónicos a su dirección militar, pero los dirigió todos erróneamente a Malí. Las comunicaciones del agente incluían informes sobre terrorismo doméstico etiquetados como "Sólo para uso oficial", y una evaluación global antiterrorista marcada como "No divulgable al público o a gobiernos extranjeros."

Prevenga el typosquatting

  • Compruebe dos veces el URL cuando visite un sitio por primera vez, especialmente antes de enviar información personal.

  • Utilice marcadores o favoritos para los sitios que visita con frecuencia.

  • Active las funciones de seguridad integradas en su navegador.

  • Mantenga actualizado su software antivirus y de seguridad.

  • Notifique cualquier sospecha de typosquatting a la persona u organización a la que se está suplantando: aunque no puedan hacer nada para desmantelar el sitio falso, tal vez puedan alertar a sus usuarios.

Orbit Security

Orbit Security

Calificaciones de seguridad para mejorar la gestión de la superficie de ataque y el riesgo de terceros. Supervise las infracciones y vulnerabilidades que podrían explotar los actores de amenaza.

Learn more

Contacte un experto

Luis Carlos Nino

Luis Carlos Nino

Director | Analítica

lnino@thomasmurray.com
Daniela Gomez

Daniela Gomez

Ejecutiva de cuentas | Ventas de SaaS y éxito del cliente

dgomez@thomasmurray.com