¡¿Tipo… qué?!… Typosquatting. El arte de confundir con direcciones parecidas

Así, a priori, sin más y sin vaselina, suena un poco friki, ¿no? 😉 Pero nada más alejado de la realidad porque no lo es en absoluto y seguro que [email protected] nos hemos encontrado con ello, y además, más de una vez.

En realidad, el typosquatting, como tal, no es ninguna compleja tecnología que empleen los ciberdelincuentes para sus actividades. Sin embargo, sí que se aprovechan de ella, de esa «circunstancia», para perpetrar algunas de sus fechorías.

¿A que alguna vez te has confundido y has escrito, por ejemplo, «www.GOGLE.es» en lugar de «www.GOOGLE.es»?

Si lo has hecho bien y has escrito GOOGLE

Si te has confundido y has escrito GOGLE

¿A que alguna vez no te has fijado, te has confundido, y has pinchado en un enlace en el que ponía, por ejemplo, «www.GOGLE.es» en lugar de «www.GOOGLE.es», sin darte cuenta no ser consciente de la diferencia?

Y seguro que ambas cosas también te han pasado con muchas otras URLs o direcciones de otras páginas web, ¿verdad?

Cuando esto sucede suele ocurrir una de estas dos cosas, que al principio y durante un momento nos extrañan, hasta que nos damos cuenta:

  • O llegamos a una página web que no es a la que queríamos navegar,
  • O aparece un error de «página no encontrada», o similar.

Esto, que es algo que ocurre de forma muy normal y habitual, y también es algo que los ciberdelincuentes pueden utilizar, y utilizan, en su beneficio.

El typosquatting es el «arte» de aprovecharse de que los usuarios, en muchas ocasiones y/o de forma habitual, escribimos incorrectamente las direcciones de determinadas páginas web y/o de que en muchas ocasiones no nos fijamos bien o no distinguimos bien lo que hay escrito en un enlace antes de pincharlo.  Esto, que en sí mismo no es un problema, puede convertirse en uno, e importante.

Fuente: Sophos

Sigamos con el ejemplo de Google. Supongamos que nos hemos equivocado y hemos escrito incorrectamente http://www.gogle.es, en lugar de http://www.google.es, en la barra de direcciones de nuestro navegador. Y, supongamos que un ciberdelincuente, consciente de ello, de que esto ocurre y va a ocurrir a muchos usuarios con bastante asiduidad, ha comprado ese dominio (www.gogle.es) y ha montado en él su propia página web.

El ciberdelincuente, en dicha página de dicha URL, podría haber hecho cualquier cosa, pero lo más probable es que haya hecho una copia lo más parecida posible a la página original (www.google.es) para que no seamos conscientes de que no estamos donde realmente queríamos estar.

Si es así (dependiendo de su objetivo porque podría hacer muchas cosas), por ejemplo, podría haber preparado la página de esa dirección para que, pareciéndose muchísimo o siendo casi igual que la de Google, nos muestre un mensaje indicándonos que debemos introducir determinados datos en un formulario (por ejemplo un login con usuario y contraseña), o incluso cualquier otro formulario en el que nos pida otros datos personales y confidenciales (como número de teléfono, DNI, email… y cualquier otro tipo de información).

Esto, puede extrañarnos y alertarnos… ¡o no si no estamos muy atentos (e incluso aunque lo estemos)! Y precisamente ahí es donde radica el problema y está la clave. Si no somos conscientes de que la página en la que estamos no es aquella en la que queríamos estar sino una falsa y si además no nos extraña que nos pida un login/validación u otros datos y los introducimos… ¡habremos caído en la trampa y el ciberdelincuente se hará con nuestra información y datos personales, confidenciales y privados!

Otra forma (entre muchas) en la que el ciberatacante podría actuar, sería realizando envíos masivos de correos electrónicos (a bases de datos de emails robados previamente en alguna brecha de datos). En esos correos electrónicos, el ciberdelincuente podría haber hecho dos cosas.

Podría haber escrito un enlace correcto en el email pero que, por debajo, ese link apuntase a la página falsa o fraudulenta que al ser pinchado nos llevase a ella.

Y también habría podido poner el link tal cual de su página (www.gogle.es) para que lo cliquemos y probablemente lo hagamos al no leerlo exactamente, o pasarnos desapercibida la diferencia, o no ser conscientes de que no se tratar de la URL real, sino de una falsa.

Una vez más, una acción con mucho ratio de éxito que se ampara en la ingeniería social, la «suplantación» de identidad y sobre todo en el factor humano, porque errare humanum est siendo éste, sin duda, el eslabón más débil de la cadena.

Por su puesto, en esa página falsa, podría haber pasado de todo. El robo de datos es un ejemplo, pero se podría haber descargado un malware o virus que infectase nuestro dispositivo, se podría haber usado nuestra identidad de forma ilícita, nos podrían haber robado dinero, nos podrían extorsionar

Y, ¿qué podemos hacer ante todo esto?… algunas sugerencias, entre muchas otras…

  • Lo primero de todo… pies de plomo (más bien, «ojos de plomo» ;-)), mucha atención y mucho cuidado.
  • Siempre, fijarnos bien en el texto de cada enlace (esté donde esté, escrito en un email, en una página web, en la barra de direcciones del navegador…) para comprobar que es el correcto, o no.
  • Siempre, fijarnos bien en la URL que tiene el link/enlace por debajo, colocando el puntero del ratón encima de él antes de clicarlo.
  • Utilizar favoritos o direcciones de determinadas páginas que almacenaremos en nuestros navegadores para no tener que escribir las direcciones de dichas páginas.
  • Utilizar marcadores de las páginas que más solemos visitar de forma habitual, para no tener que escribir sus direcciones y acceder directamente a ellas.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR