Typosquatting es el registro masivo de dominios falsos casi idénticos a marcas reales, cambiando una letra para cazar a quien teclea rápido. Escribes "gogle.com" en lugar de "google.com" y aterrizas donde no querías. Los atacantes montan un dominio similar al legítimo, esperan tu error de dedo y te sirven phishing de dominio con la cara de tu banco. El registro masivo de dominios convierte esto en industria: no registran uno, registran miles a la vez con scripts automáticos. Aquí en MataSpam vemos pasar estos dominios cada día intentando colarse por el correo. Te explicamos cómo funciona el negocio, cómo detectarlo y qué hacer cuando el enlace huele raro. Sin humo.
Qué es el typosquatting y por qué escala tan bien
El typosquatting explota un fallo humano: nadie teclea perfecto siempre. El atacante registra variantes de un dominio popular y espera. Es marketing negro basado en tus erratas.
Las variantes no son aleatorias. Siguen patrones muy concretos que un algoritmo genera en segundos.
- Omisión de letra: whatsap.com en vez de whatsapp.com.
- Letra duplicada: amazonn.com.
- Teclas adyacentes: gmqil.com (la Q pega a la A).
- Homoglifos: una "l" minúscula que parece una "I" mayúscula, o caracteres cirílicos idénticos a los latinos (los ataques IDN homograph).
- TLD alternativo: tu-banco.com registrado como tu-banco.top o .xyz.
- Guiones y subdominios: paypal-seguridad.com, donde "paypal" es solo texto, no el dominio real.
El registro masivo de dominios hace que esto sea rentable. Un dominio nuevo cuesta poco, a veces menos de un euro el primer año en extensiones baratas. Registras 5.000, montas una plantilla clonada y automatizas el envío. Si cae un puñado de víctimas, ya sale a cuenta.
El fenómeno tiene nombres primos: combosquatting (añadir palabras como "login" o "soporte"), bitsquatting (aprovechar errores de bit en la memoria) y doppelganger domains (quitar el punto entre subdominio y dominio). Todos comparten el mismo ADN: parecerse lo justo para engañar al ojo cansado.
Casos reales y cómo operan las campañas
Esto no es teoría de laboratorio. Las firmas de seguridad han documentado durante años picos de registro de dominios falsos alrededor de eventos: Black Friday, campañas de la renta, lanzamientos de iPhone. Cuando sube la búsqueda de una marca, sube el typosquatting asociado.
La mecánica de una campaña típica es industrial:
- Generación: un script produce miles de permutaciones de la marca objetivo.
- Registro masivo: se compran los dominios disponibles vía APIs de registradores, a menudo con datos WHOIS ocultos por privacidad.
- Certificado: se emite un certificado TLS gratuito con Let's Encrypt, así el candado verde da falsa confianza. El candado dice "conexión cifrada", no "sitio honesto".
- Despliegue: se sube una copia visual de la web legítima, muchas veces descargada tal cual con un scraper.
- Distribución: se envían correos y SMS con el enlace, o se espera tráfico directo de erratas.
Los dominios falsos también sirven para interceptar correo corporativo. Un atacante registra un dominio similar al de tu proveedor y responde a hilos de facturación cambiando el número de cuenta. Es el fraude del CEO con esteroides. Aquí el phishing de dominio no busca tu contraseña: busca una transferencia de cinco cifras.
Estas técnicas se solapan con operaciones más sofisticadas. Grupos organizados, incluidos los que analizamos en nuestro artículo sobre las amenazas persistentes avanzadas, usan dominios doppelganger como infraestructura desechable para no quemar sus servidores reales.
Señales de alerta: cómo detectar un dominio falso
Tu mejor antivirus contra el typosquatting es mirar la barra de direcciones antes de teclear nada. Suena obvio. Casi nadie lo hace.
| Señal | Qué revisar |
|---|---|
| El dominio real | Lee de derecha a izquierda desde el último punto antes de la primera barra. En paypal.com.seguro.xyz, el dominio es seguro.xyz, no paypal. |
| Caracteres raros | Guiones extra, números que sustituyen letras (0 por O), o acentos donde no tocan. |
| TLD inesperado | Tu banco de toda la vida no cambia de golpe a .info o .click. |
| Edad del dominio | Un dominio registrado hace tres días que imita a una marca de veinte años es sospechoso por diseño. |
| Prisa artificial | "Tu cuenta se cerrará en 2 horas". La urgencia es el disfraz favorito del fraude. |
Herramientas concretas que puedes usar ahora mismo, sin ser técnico:
- VirusTotal: pega la URL sospechosa y verás si decenas de motores la marcan como maliciosa.
- Have I Been Pwned: comprueba si tu email apareció en filtraciones. Si picaste, sabrás qué datos circulan.
- WHOIS lookup: consulta la fecha de registro. Reciente + imita marca = alerta.
- urlscan.io: analiza qué hace una web sin visitarla con tu navegador.
Y una regla de oro para el correo: no hagas clic en enlaces de mensajes que piden credenciales. Abre el navegador y teclea tú la dirección oficial. Un filtro con IA como MataSpam intercepta buena parte de estos dominios falsos antes de que lleguen a tu bandeja, pero la última verificación siempre la haces tú.
Qué hacer si has picado
Respira. Le pasa a gente lista con prisa, no solo a incautos. Actúa rápido y en orden.
- Cambia la contraseña del servicio afectado desde el sitio oficial, no desde el enlace del correo.
- Activa la verificación en dos pasos si no la tenías. Es la diferencia entre un susto y un desastre.
- Revisa reutilización: si usabas esa misma contraseña en otros sitios, cámbiala en todos. Un gestor de contraseñas resuelve esto para siempre.
- Si diste datos bancarios, llama a tu banco y bloquea la tarjeta. Cada minuto cuenta.
- Denuncia: en España puedes reportar el fraude a la Policía Nacional (grupo de delitos telemáticos) o la Guardia Civil. El INCIBE (017) ofrece ayuda gratuita en ciberseguridad.
- Reporta el dominio al registrador y a Google Safe Browsing para que lo bloqueen a otros.
Si el ataque llegó a tu móvil, conviene repasar la higiene del dispositivo. Nuestra guía completa de seguridad en Android cubre los ajustes que reducen el riesgo, y si sospechas de apps husmeando, revisa qué permisos deberías revocar en tu móvil.
Cómo se protegen las empresas del typosquatting
Si tienes marca, los atacantes ya están mirando tus erratas posibles. La defensa combina registro preventivo y vigilancia.
- Registro defensivo: compra las variantes obvias de tu dominio y los TLD más habituales. Sale más barato que gestionar un fraude.
- Monitorización: servicios de brand protection alertan cuando alguien registra un dominio parecido al tuyo.
- DMARC, SPF y DKIM: configura estos registros para que los servidores rechacen correo que suplanta tu dominio. Es autenticación de correo, y frena buena parte del spoofing.
- UDRP: la ICANN ofrece un procedimiento de resolución de disputas para reclamar dominios que abusan de tu marca registrada.
- Formación: tu equipo es el filtro final. Un empleado que verifica el dominio antes de pagar una factura vale más que cualquier appliance.
Si estás montando presencia digital y quieres hacerlo bien desde el principio, tener una web profesional sobre una base sólida incluye configurar correctamente estos registros de autenticación de correo. Y si tu marca crece, plantéate el registro defensivo antes de que otro lo haga por ti.
Preguntas frecuentes
¿Es ilegal el typosquatting?
Depende del uso. Registrar un dominio parecido puede ser un abuso de marca perseguible vía UDRP o por la vía judicial. Cuando se usa para phishing o fraude, ya es delito penal en España y la mayoría de países.
¿Cómo sé si un dominio es falso antes de hacer clic?
Pasa el ratón por encima del enlace y lee la URL real en la esquina del navegador. Fíjate en el dominio justo antes de la primera barra y en el TLD. Si algo no cuadra, pégalo en VirusTotal antes de abrirlo.
¿El candado verde significa que la web es segura?
No. El candado solo indica que la conexión está cifrada, no que el sitio sea legítimo. Los atacantes emiten certificados gratuitos para sus dominios falsos sin problema. Fíate del dominio, no del candado.
¿Por qué registran miles de dominios en lugar de uno?
Porque cubren más erratas posibles y diluyen el bloqueo. Si tumbas un dominio, tienen 4.999 más listos. El registro masivo de dominios es barato y automatizable, así que juegan a la escala.
¿Un antivirus me protege del typosquatting?
Ayuda, pero no basta. Muchos antivirus y navegadores bloquean dominios ya reportados, aunque los recién registrados tardan en detectarse. La combinación de filtro de correo con IA, sentido común y verificación manual cubre mucho más terreno.
El siguiente paso
Abre ahora mismo haveibeenpwned.com, escribe tu email principal y comprueba en qué filtraciones apareció. Si sale alguna, cambia esas contraseñas hoy y activa la verificación en dos pasos. Diez minutos que te ahorran un mal día. Y si quieres seguir afilando el olfato, echa un ojo a nuestros artículos sobre spam en formularios web y el resto del blog.


