MENÚ

‘Typosquatting’: cómo los timadores se aprovechan de los errores ortográficos para colárnosla

Publicado
Claves
  • A través de la técnica del typosquatting los estafadores nos pueden llevar a páginas fraudulentas sin que nos demos cuenta
  • Para ello los cibercriminales registran páginas web con un nombre muy parecido al del portal real pero con ligeros cambios, como sustituir alguna letra 
  • Al no recibir un código de error las víctimas no se dan cuenta de que han entrado en una página clonada 

Comparte
Categorías
Recursos utilizados
Fuentes oficiales (comunicados, bases de datos, BOE)

A todos nos ha pasado que con las prisas hemos enviado algún mensaje con faltas de ortografía. El trasiego del día a día nos lleva a hacer las cosas más rápido, y somos más propensos a cometer algún error a la hora de escribir. También tendemos a leer más en diagonal, quedándonos con una idea por encima del texto, y no fijarnos detenidamente en cada una de las palabras que estamos leyendo. Y esto es algo que los timadores saben y que aprovechan para intentar colárnosla. 

Los timadores registran dominios con nombres muy parecidos a los de las páginas auténticas, pero con ligeros cambios

Sólo hace falta cometer un error a la hora de escribir la dirección de una página web, o no fijarnos bien en la URL en la que entramos (algo de lo que siempre os advertimos) para que los estafadores suplanten la identidad de una compañía o empresa e intenten hacerse con nuestros datos. Y para ello los timadores emplean dominios parecidos a los auténticos, pero con ligeras modificaciones que le dan la apariencia de ser la dirección web legítima.

Esto es lo que se conoce como typosquatting, palabra que surge de la unión de typo (que se traduce como error ortográfico) y squatting (que se traduce como ocupar, en este caso un dominio web). Una táctica de la que ha advertido la Oficina de Seguridad del Internauta (OSI) y con la que los timadores se aprovechan de los errores humanos para estafar a los usuarios.

Para ilustrar un ejemplo, vamos a usar un dominio inventado, “www.paginaejemplo.com”. Si en un error a la hora de escribir tecleamos “www.ejemplopagina.com”, los timadores podrían usar ese dominio y, clonando esta página podría solicitar información como datos personales o bancarios. Aplicando este principio, hay diversas posibilidades, como cambiar la terminación del dominio (www.paginaejemplo.es), cambiar alguna letra (www.pagimaejemplo.com) o añadir algún subdominio (www.paginaejem.plo.com). También es habitual intercambiar caracteres parecidos, como la letra “o” mayúscula (“O”) por el número “0” o la vocal “i” mayúscula (“I”) por la consonante “l”.

Al introducir una URL con alguna de estas faltas de ortografía, en lugar del típico error de que la página no ha podido ser encontrada, los timadores podrían haber registrado un dominio que contenga estos errores tipográficos. Por lo que el usuario podría no darse cuenta de que en realidad se encuentra en una página fraudulenta.

Consejos para evitar ser víctima del ‘typosquatting’

Desde Maldita.es os hemos dado diferentes recomendaciones para detectar si una página es segura, pero para no caer en este timo, ESET también da una serie de consejos sobre cómo protegernos ante el typosquatting:

  • Ten cuidado con las URL mal escritas y los caracteres ambiguos: fíjate siempre en que hayas escrito la dirección de forma adecuada, ten cuidado al copiar y pegar una URL o al acceder directamente a una página web, y siempre verifica que te encuentras en la web correcta.
  • Comprueba si un sitio web es malicioso: en caso de duda lo mejor es comprobar si nos encontramos ante una página web legítima. Google ofrece herramientas como el Estado del sitio de Navegación segura, donde podemos introducir una dirección web para ver si es legítima, y en navegadores como Chrome se puede ver (tanto en dispositivos móviles como en PC) información sobre la página y si ha sido marcada como sospechosa.
  • Sospecha aunque parezca el protocolo HTTPS, marcado con el símbolo de un candado. Este icono sólo significa que la comunicación está encriptada y no pueden acceder terceras personas, pero no evitará que los timadores puedan usar tus datos personales y bancarios si se los entregas.
  • Busca la información de contacto y la política de privacidad: las webs legítimas ofrecen información de contacto para sus clientes y tienen que obedecer las leyes de protección de datos. Así que, si no aparecen estos elementos, sospecha.

Maldito Timo cuenta con el apoyo de ESET

logo eset