¿Alguna vez has pinchado en un enlace que parecía seguro y al entrar te has encontrado con una página web sospechosa? Es posible que los ciberdelincuentes estuvieran utilizando la técnica de cloaking (o “encubrimiento”, en español) para redirigirte a un sitio web fraudulento. Gracias a esta técnica, los timadores pueden mostrar contenidos diferentes a los motores de búsqueda y a los usuarios. Te contamos cómo funciona y cómo aplican los timadores esta estrategia para engañarnos y enseñarnos contenido malicioso.
Los timadores pueden aplicar esta técnica para ocultar páginas web maliciosas
El cloaking es una técnica de “ocultación u ofuscación”, señala Carlos Tomás Moro, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. Esta técnica tiene muchos usos (también legítimos), pero los ciberdelincuentes la pueden utilizar para encubrir páginas web fraudulentas y disfrazar sus enlaces.
Podemos ver un ejemplo de ello en este tuit de Will Dormann, analista de vulnerabilidades de software. Twitter (ahora X) muestra al usuario la previsualización del enlace de una página web indicando que se trata de la revista Forbes. Sin embargo, cuando el usuario hace clic, le redirigen a un chat de Telegram de supuestas inversiones en criptomonedas (algo de lo que ya hemos advertido desde Maldita.es).
¿Cómo es esto posible? Moro explica que, en función de quién esté accediendo al enlace, se le redirige a un contenido o a otro. Es decir, si se detecta que quien accede es la “máquina” de Twitter, se le muestra la página web de Forbes. Pero si se detecta que quien ha pinchado en el enlace es un usuario desde un navegador, se le redirige a un chat fraudulento de Telegram.
Esta técnica se suele utilizar para manipular los resultados en los motores de búsqueda
Santiago Casteleiro, informático experto en técnicas de hacking y maldito, indica que esta técnica se suele utilizar en el ámbito de la optimización de motores de búsqueda (SEO) al mostrar un contenido diferente a los motores de búsqueda y a los usuarios. “Los motores de búsqueda indexan la versión optimizada para SEO de la página, mientras que los usuarios ven una versión diferente”, explica. De hecho, los motores de búsqueda penalizan el uso de esta técnica.
Según el experto, se puede aplicar con el objetivo de “manipular los resultados de búsqueda, llevar a cabo ataques de phishing, distribuir malware o engañar a los usuarios para que realicen acciones no deseadas, como proporcionar información personal o financiera”.
Por ejemplo, en Maldita.es advertimos de cómo se estaba suplantando a Ryanair a través de Google Ads. Al buscar el teléfono de la aerolínea en el buscador de Google, aparecía un anuncio patrocinado que enlazaba a una página web con un número falso de atención al cliente.
A pesar de que en la descripción del anuncio aparecía la URL oficial (https://www.ryanair.com), cuando se hacía clic en el enlace se redirigía al usuario a la página web fraudulenta (starfish-app-uwsjo.ondigitalocean.app). De hecho, las políticas publicitarias de Google prohíben expresamente anuncios que utilizan la técnica de cloaking para ocultar el verdadero destino al que se dirige a los usuarios.
Álex Corcoles, especialista en informática y también maldito, indica otros usos engañosos de esta técnica: “Se pueden manipular los filtros que usan los navegadores para avisarnos antes de entrar a páginas inseguras. Se le enseña contenido inofensivo a esos filtros, mientras que a los usuarios se les muestra el contenido dañino”.
Ahora bien, tal y como apunta Moro, esta técnica también puede tener finalidades legítimas. Por ejemplo, ocultar los datos reales de los implicados en una sentencia judicial o el network cloaking, que consiste en ocultar activos en la red que puedan ser atractivos para atacantes.
El contenido que se le muestra al usuario depende de cómo ha sido identificado
Según los expertos consultados por Maldita.es, la página web que se le muestra al usuario puede depender de factores identificativos como la ubicación geográfica, la dirección IP, el dispositivo utilizado o el navegador, entre otros. El servidor determinará qué página
web mostrará al usuario dependiendo de esos identificadores que se han predefinido.
Los ciberdelincuentes podrían utilizar estos factores para segmentar sus campañas maliciosas. “Pueden escoger que el usuario que acceda lo haga desde el móvil para que, al pinchar el enlace, le salte la aplicación de Telegram y la opción de unirse a un chat. También se puede segmentar por idioma, por país, por el tipo de navegador…”, afirma Moro.El especialista recalca que el cibercrimen funciona como una industria y que los ciberdelincuentes incluso podrían contratar a profesionales que organizan este tipo de campañas maliciosas usando técnicas de cloaking.
Para evitar este engaño, el experto recomienda no pinchar en enlaces de mensajes muy llamativos o en ofertas demasiado buenas para ser ciertas. “Lo único en lo que podemos trabajar es en el sentido crítico. Debemos pensar si esa información nos parece sospechosa antes de hacer clic y entrar en la página web”, afirma.
En este artículo han colaborado con sus superpoderes Carlos Tomás Moro, experto en ciberseguridad; Santiago Casteleiro, informático experto en técnicas de hacking; y Álex Corcoles, especialista en informática.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
