¿Qué es Typosquatting?
Typosquatting es el registro deliberado de nombres de dominio que imitan una marca legítima mediante errores tipográficos, sustituciones de caracteres o variaciones visuales (homoglyphs), con el objetivo de engañar a usuarios para que ingresen credenciales, descarguen malware, sean víctimas de fraude o sean redirigidos a contenido ilegítimo.
Resumen rápido
- Variantes incluyen errores de tipeo (gogle.com), homoglyphs (gооgle.com con cirílico), TLDs alternativas (.io vs .com), guiones, plurales y subdominios engañosos.
- Es una de las técnicas más usadas para phishing dirigido y fraude de marca.
- La detección eficaz requiere monitoreo continuo de Certificate Transparency logs, registros DNS y nuevas zonas de TLDs.
- Defensa proactiva: registrar variantes obvias antes de que lo hagan actores maliciosos (defensive registration).
- Defensa reactiva: takedowns automatizados a registrars y proveedores de hosting.
Técnicas de typosquatting
Errores tipográficos: omisión, inserción, sustitución o transposición de caracteres (microsft.com, gooogle.com, facebok.com).
Homoglyphs (caracteres visualmente idénticos): uso de caracteres Unicode de otros alfabetos que se ven igual (а cirílico vs a latina, ο griego vs o latina). Detectables por análisis Punycode.
TLD swapping: registrar la misma marca con TLD alternativa (la legítima en .com, el atacante registra .net, .co, .io u otra ccTLD).
Combosquatting: agregar palabras al dominio (login-mibanco.com, mibanco-secure.com).
Bitsquatting: aprovechar errores de hardware en memoria que cambian un bit del dominio destino.
Subdomain squatting: usar subdominios engañosos en dominios genuinos (mibanco.com.attacker.tk).
Cómo se detecta typosquatting de forma automatizada
Generación algorítmica: una plataforma de protección de marca genera todas las variantes posibles del dominio objetivo (errores tipográficos, sustituciones, homoglyphs, TLDs comunes) y las consulta en repositorios DNS y bases de WHOIS.
Certificate Transparency monitoring: cada certificado SSL emitido se publica en logs públicos de CT. Monitorear estos logs en tiempo real permite detectar nuevos dominios sospechosos en minutos.
Análisis de contenido: una vez detectado un dominio candidato, scrapeo del contenido para identificar si copia logos, formularios o textos de la marca legítima.
Scoring de riesgo: combinación de factores (TLD, edad del dominio, similitud, presencia de formulario de login, contenido copiado) para priorizar respuesta.
Estrategia de defensa contra typosquatting
Defensa proactiva: registrar las variantes más obvias del dominio principal — errores comunes, TLDs frecuentes (.com, .net, .co, .io y las ccTLDs relevantes para tus mercados) y combosquats típicos. Costo bajo, alto retorno.
Detección continua: una plataforma DRP debe monitorear permanentemente nuevos registros y emisiones de certificados que coincidan con patrones similares a tu marca.
Takedown rápido: cuando se detecta un dominio malicioso activo, abrir takedown con el registrar (proceso estándar para clear cases de marca registrada y phishing) y con el proveedor de hosting. Tiempos de takedown van de horas a días según la jurisdicción.
Reportar a herramientas de protección de navegador: Google Safe Browsing, Microsoft SmartScreen y similares. Un dominio reportado deja de ser accesible para la mayoría de usuarios en horas.
Preguntas frecuentes
¿Es legal el typosquatting?
Generalmente no, cuando hay marca registrada involucrada. Existen mecanismos como UDRP (Uniform Domain-Name Dispute-Resolution Policy) de la ICANN que permiten al titular de una marca reclamar dominios registrados de mala fe. Adicionalmente, cada NIC nacional (.ar, .cl, .mx, .es, .br, etc.) tiene sus propios procedimientos. La denuncia legal y la presión al registrar son las dos vías principales.
¿Cuántos dominios typosquat existen para una marca grande?
Para marcas reconocidas internacionalmente, fácilmente miles. Una plataforma de protección de marca enfocada en señales críticas (no todo typosquat es activo, muchos son parqueados o defensivos de terceros) puede reducir miles de candidatos a docenas de amenazas reales que requieren acción.
¿Cuánto tarda un takedown típico de dominio typosquat?
Para casos claros (phishing activo replicando una marca registrada), de horas a 2-3 días con un registrar cooperativo. Para casos grises o registrars no cooperativos, puede tomar semanas y requerir vía legal. Las plataformas con equipo humano dedicado a takedowns logran tiempos significativamente menores que workflows puramente automatizados.
¿Qué hago si encuentro un typosquat de mi marca activamente robando credenciales?
Pasos inmediatos: 1) Capturar evidencia (screenshots, WHOIS, certificado, contenido). 2) Reportar al registrar y al proveedor de hosting (con evidencia de phishing). 3) Reportar a Google Safe Browsing y Microsoft SmartScreen. 4) Notificar a tu equipo de comunicación y soporte por si clientes preguntan. 5) Si una plataforma DRP ya está activa, todos los pasos anteriores se ejecutan automáticamente en paralelo.