Los timos nos pueden llegar de muchas formas y maneras. Desde anuncios en Facebook que nos intentan hacer caer en un timo a través de alguna promoción, pasando por un SMS fraudulento que nos llega directamente. Sin embargo, gran parte de ellos tienen algo en común, y es que intentarán que pinchemos en un enlace a una página externa, en la que a través de diferentes recursos intentarán obtener nuestros datos o nuestro dinero.
A lo largo de los diferentes intentos de timos que os hemos explicado, hemos encontrado algunos elementos en común. Uno de ellos es que estos dominios fraudulentos incluyen una extensión relacionada (o que se “corresponde”) con otros países en el extranjero (en lugar del ‘.es’ que corresponde a España). Una de las extensiones que aparece con frecuencia entre los casos de phishing que nos han llegado es ‘.ru’ (asociada a Rusia). Desde sitios web fraudulentos haciéndose pasar por tiendas de ropa hasta sorteos falsos o phishing. Esta situación se ha agravado recientemente, a raíz de la guerra que este país inició en Ucrania.
¿Cómo podemos saber si realmente un enlace pertenece a un sitio que está hospedado en el extranjero? Más importante aún, ¿una extensión ‘.ru’ significa que nos están timando específicamente desde ese país?
Los elementos de un enlace
Vamos por partes. Hay varios elementos en los que nos podemos fijar al analizar un enlace que nos puede resultar sospechoso. En Maldita.es ya os hablamos de cómo analizar un enlace y las partes que lo conforman para que no te la cuelen. Por ejemplo, podemos observar si el sitio web emplea un protocolo seguro (por norma general, “https”, que aparece al principio de la url). Otra característica importante es si el dominio (es decir, el nombre de la dirección) coincide con el nombre de la web a la que estamos intentando acceder, o la organización que supuestamente se dirige a nosotros.
Por otro lado, están las extensiones: ese código que cierra la dirección web de cualquier página. La extensión es la parte de un enlace que, en un principio, nos arroja datos que nos permite identificar la página web, e incluso su supuesta procedencia.
El caso más conocido en nuestro país es el ‘.es’, que es la extensión asignada por la Autoridad de Asignación de Números de Internet (IANA, por sus siglas en inglés) para referirse a aquellas páginas web registradas bajo el código de España. La extensión varía dependiendo de la zona geográfica: “.uk” se refiere a Reino Unido, mientras que “.us” se relaciona con Estados Unidos, y así sucesivamente.
Que una web tenga la extensión '.ru' no significa necesariamente que ha sido creada en Rusia
Con el aumento de casos de phishing que incluyen la extensión ‘.ru’, podríamos pensar que ha aumentado el número de webs fraudulentas procedentes, o directamente, el número de timos procedentes de Rusia. Pero… ¿La extensión ‘.ru’ indica que el sitio sólo puede proceder de Rusia? ¿Significa esto que para crear una página con alguno de estos dominios sólo se puede hacer desde el país al que hace referencia? Lo cierto es que no.
Como asegura nuestro maldito Walter Verdejo, especialista en servicios de almacenamiento en línea, una persona no tiene por qué pertenecer o desplazarse a un país para emplear su dominio. Es decir, ‘.ru’ no significa que sea ruso. Nuestro también maldito Jorge Louzao Penalva, experto en ciberseguridad, nos dice que “tú también puedes registrar un dominio ‘.ru’ si quieres [desde España]”.
En el caso de España, tampoco es necesario que una persona esté viviendo en el país para registrar un dominio ‘.es’. Esto quiere decir que los datos de una persona se podrían estar tratando desde otro país, pese a que el dominio pueda dar a entender que se están gestionando en otro (Rusia, en el caso de ‘.ru’, o España, en el caso de ‘.es’, entre otros ejemplos).
Otro de nuestros malditos, Carlos Fernández Llamas, desarrollador de software y especialista en servicios web y privacidad, nos explicaba que en algunos casos puede haber condiciones concretas para acceder al registro de algunas extensiones. Ponía ejemplos como los dominios “.eus”, que necesariamente tienen que haber de la cultura vasca o incluir contenido en euskera. Sin embargo, este no siempre es el caso.
Un ejemplo reciente de intento de suplantación es el de una página se hacía pasar por Stradivarius, en la que los timadores empleaban la extensión ‘.ru', pese a que el nombre de la página y sus contenidos se encontraban en español. En este caso, Verdejo nos explicaba que, probablemente, esta extensión era usada para dificultar el acceso a los datos de la página y su autoría a través de herramientas como whois, un directorio que nos permite conocer la procedencia de un dominio o quién lo ha registrado.
Existen servicios en los que podemos reportar una web fraudulenta
En estos casos, la colaboración ciudadana es imprescindible. Louzao nos cuenta que, en caso de toparnos con una web fraudulenta que intenta suplantar a otra empresa, es imprescindible denunciarla al servicio SafeBrowsing, señalando a qué web está tratando de suplantar. Este servicio, una vez verifica que una web está suplantando a otra empresa, añade a la web fraudulenta a una lista de bloqueo que hace que los navegadores web (incluidos los smartphones, tablets, etc.) alerten al usuario de que está intentando a acceder a una web falsa.
¿Por qué los timadores recurren tanto a registrar dominios extranjeros? La razón la encontramos en los mecanismos que regulan y velan por la seguridad en la red. En el caso de España, encontramos un acuerdo entre la Entidad Pública Empresarial Red.es y el Instituto Nacional de Ciberseguridad (INCIBE), que establecen en un oconvenio el objetivo de“colaborar en el proceso de depuración de la base de datos del Registro de nombres de dominio ‘.es’”. En otras palabras, asegurar que el dominio ‘.es’ se posicione como seguro.
Para este fin, es necesario que los registros de las páginas bajo esta extensión cumplan una serie de requisitos y mecanismos que permitan, entre otras cosas, identificar a los dueños de estás páginas, que sean seguras, y evitar que puedan ser usadas para cometer fraudes.
Precisamente este es uno de los motivos que lleva a los timadores a registrar sus dominios en otros países donde la regulación es más laxa para poder llevar a cabo sus ataques.
En este artículo ha colaborado con sus superpoderes los malditos Walter Verdejo, especialista en servicios de almacenamiento en línea, Jorge Louzao Penalva, experto en ciberseguridad y Carlos Fernández Llamas, desarrollador de software y especialista en servicios web y privacidad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
