Google habilitó la semana pasada ocho nuevas extensiones de dominio para páginas web que generaron alertas: así como hay .com o .net, ahora puedes registrar sitios que terminan en .zipque se confunde con los famosos archivos comprimidos y abre la puerta a una nueva forma de estafa.
El problema se originó con una publicación oficial de Google que anunciaba que ahora se pueden comprar sitios web con nombres que terminan en 8 nuevas extensiones: .dad, .esq, .prof, .phd, .nexus, .foo, .zip y .mov. (este último, también problemático, ya que históricamente es un formato de vídeo).
El problema es que todo esto deja en bandeja a los actores maliciosos a desarrollar campañas para robar datos mediante phishing: “Cuando hablamos de phishing, nos referimos a la práctica de engañar a las personas para que revelen su información personal y confidencial, ya sean contraseñas, números de tarjetas de crédito o datos bancarios”, explica Agustín Merlo, investigador de ciberseguridad.
“Para lograr este objetivo, un atacante puede usar diferentes técnicas, como enviar correos electrónicos o mensajes falsos y crear sitios web similares a los que frecuentamos. En todos estos casos, el atacante se hace pasar por una persona o una entidad en la que confiamos”, añade el experto en seguridad. malware (virus).
Ahora, con la posibilidad de tener páginas web .zip, esto añade un nuevo vector de ataque.
¿Qué es una extensión de dominio?
Para entender qué peligros conlleva, lo primero que hay que entender es qué habilitó Google. Los dominios de Internet son nombres únicos que se dan a las páginas web y tienen extensiones. Lo que hizo Google fue admitir nuevos Dominios de nivel superior.
“Los dominios de internet se dividen en distintos nombres separados por puntos, como clarin.com o argentina.gob.ar, donde lo que va después del último punto se llama TLD. Inicialmente había algunos como ‘.com’ para empresas comerciales y ‘.gov’ para entidades gubernamentales. Entonces los ‘cTLD’ de países de dos dígitoscomo ‘ar’ de Argentina o ‘uy’ de Uruguay”, explica a este medio Maximiliano Firtman, experto en programación.
Ahora, «existe un modelo de negocio bajo el nombre de Registro de Googledonde se registraban algunos gTLD para uso propio, como .google y otros para alquilar y hacer negocios con él”, recuerda.
“Hace algunos años, la organización internacional que administra estos dominios agregó gTLD genéricos donde cualquiera que pague una regalía de varias decenas de miles de dólares por año puede obtener un ‘punto cualquier cosa’siempre que no sea ofensivo y no se confunda con un país: por eso últimamente han aparecido muchos como ‘.online’, ‘.cafe’, ‘.gratis’, etc.”, añade el docente, fundador de Academia de Maestría en TI.
Así, esto de que «cualquier cosa» puede ser un dominio representa un problema para esta decisión que tomó Google.
“Zip”, la famosa compresión de archivos
Un .zip es un archivo comprimido que se utiliza para reducir el tamaño sin perder información, muy útil para fusionar varios archivos en uno. Son ampliamente conocidos y utilizados en el lugar de trabajo, y generalmente se abren con programas como Winzip, Winrar o el extractor de archivos nativo de Windows.
Pero una cosa es un archivo y otra una dirección web (URL): «La existencia de dominios .zip será una herramienta más que juega a favor de los ciberdelincuentes hacer phishing ya que en algunos casos es necesario entender ciertos términos técnicos para identificar el error en un enlace falso”, advierte Merlo.
Complementa Cristian Borghello, especialista en seguridad informática de Segu-Info: “Si bien este tipo de engaño siempre ha existido con los dominios .com y .com.ar, esto facilita que el delincuente engañe al usuario. Como sabemos, la famosa extensión .zip para la compresión de archivos es fácilmente identificable: tener un dominio .zip puede hacer creer que se está descargando un archivo”.
“Dada esta creencia, el usuario podría ingresar a descargar sus supuestos archivos, pero en realidad estaría ingresando a un dominio falso donde podría descargar algún malware o se le podría requerir que proporcione credenciales o algún tipo de información sensible”, agrega. El gran problema, pues, es que se añade un vector de ataque que antes no existía.
De hecho, apenas han pasado dos semanas desde el anuncio oficial de Google y ya hay casos maliciosos detectados. Clarín contactó a Jaime Restrepo, hacker y fundador de Jaradragónquien publicó un artículo explicando un caso específico.
“Los dominios .zip ya están siendo explotados por ciberdelincuentes para crear direcciones web convincentes que parecen legítimas y dirigen el ‘descarga’ de un archivo .zip. Esto se logra usando caracteres Unicode [un estándar de caracteres ]que se asemejan a la barra oblicua legítima (/), engañar a los navegadores por lo que interpretan todo lo que sigue a la ‘@’ como la ruta, ignorando la parte del servidor de la URL”, explicó.
“Por ejemplo, registré el dominio v17.zip y, al reemplazar los códigos de barras con códigos Unicode, se crea una URL que parece casi idéntica a una legítima. Este problema se agudiza con las versiones actuales de las aplicaciones de WhatsApp para iOS y Android, ya que tratan todo el dominio como un enlace en el que se puede hacer clicaumentando el riesgo de caer en el engaño”, añade.
“La sustitución del / por otros caracteres similares nos acompaña desde hace más de 20 años, pero se ha disparado su uso por dominios .zip y .mov, lo que hace más complejo diferenciar dominios”, aclara el experto.
Cómo protegerse
Hay una serie de pautas a tener en cuenta que, en rigor, cuentan para la navegación en general y no sólo con este tipo de direcciones web.
“Todo conduce al mismo punto, que sería el último sitio de phishing y lo mejor que se debe hacer para repeler esto es comprobar el nombre de dominio siempre antes para ingresar su información privada”, sugiere Merlo.
El experto añade una serie de claves a tener en cuenta:
- Tener precaución y desconfianza al recibir correos electrónicos, mensajes o llamadas sin haberlas solicitado previamente.
- No caigas en el estado de «Urgencia«, los delincuentes querrán que tengas miedo de un posible bloqueo de tu cuenta, esto es para que te tomes menos tiempo para analizar lo que está pasando.
- Examinar el correo, quién envía el correo y si los enlaces que contienen redirigen al sitio correcto.
- Evitar pinchar en un enlace y abrir una nueva pestaña para entrar por nuestra cuenta en la web de la entidad.
- Antes de ingresar información privada en un sitio siempre validar que el dominio es correcto, que tiene «https://» y no está resaltado en rojo.
- tener un antivirus instalado y con actualizaciones al día En caso de duda, contactar directamente con la empresa o institución
“Es importante mantenerse informado sobre las últimas tácticas de los ciberdelincuentes y tener cuidado al navegar por Internet. Comprueba siempre las URL antes de hacer clic en ellos es una práctica particularmente importante si se reciben por correo electrónico o mensajes de extraños”, concluye Restrepo.
Con o sin esta medida por parte de Google, siempre hay que estar atento: los estafadores tiran la red entre miles de usuarios. Siempre que un pequeño porcentaje caiga en la trampa, se acabó.
SL