El typosquatting es una técnica de estafa donde los atacantes registran un dominio falso casi idéntico al de una web legítima para engañarte. Escribes mal una letra en la barra del navegador —o haces clic en un enlace manipulado— y acabas en una web imitación perfecta que roba tus credenciales. La suplantación de dominio explota algo tan humano como un error tipográfico, y funciona precisamente porque nadie revisa cada carácter de una URL parecida antes de pulsar Enter. Los ciberdelincuentes lo saben, y llevan años sacándole partido.
Qué es exactamente el typosquatting y cómo funciona
El concepto es brutal por lo simple. Un atacante analiza dominios populares —bancos, tiendas online, servicios de correo— y registra variaciones con errores tipográficos habituales. Por ejemplo: amazom.es en lugar de amazon.es, gooogle.com con triple o, o paypa1.com sustituyendo la ele por un uno.
Una vez tiene el dominio falso registrado, monta una réplica visual de la web original. Mismo logo, mismos colores, mismo formulario de login. La víctima entra, introduce su usuario y contraseña, y el atacante se lo queda todo. A veces ni siquiera necesitas cometer un error de escritura: basta con que alguien te envíe un enlace por email o SMS con esa URL parecida.
Existen varias modalidades dentro de la suplantación de dominio por typosquatting:
- Errores de teclado: letras adyacentes intercambiadas (gogle.com, facebok.com)
- Omisión de caracteres: eliminar una letra (microsft.com)
- Adición de caracteres: añadir una letra extra (amazone.es)
- Cambio de TLD: usar .co en lugar de .com, o .es en lugar de .com
- Homógrafos IDN: caracteres Unicode que parecen idénticos a los latinos (usar la а cirílica en lugar de la a latina)
- Combosquatting: añadir palabras al dominio legítimo (paypal-security.com, amazon-login.net)
Esta última variante, el combosquatting, es especialmente peligrosa porque la URL parece incluso más profesional que un simple error tipográfico. Un estudio del Georgia Institute of Technology identificó que el combosquatting supera al typosquatting clásico en volumen de dominios registrados con intención maliciosa.
Casos reales que demuestran lo efectivo que es
No estamos hablando de amenazas teóricas. En 2017, Google identificó y bloqueó el dominio ɢoogle.com (con una G Unicode pequeña), que se usaba en campañas de phishing a través de Google Docs. Las víctimas recibían invitaciones legítimas de Google Docs que redirigían a una web imitación para robar tokens OAuth.
El caso de blockchain.info también es revelador. Durante el boom de las criptomonedas, aparecieron decenas de dominios como blockchaln.info, blockchian.info o blockchain.com.co. Cada uno montaba una réplica exacta del monedero online para vaciar las carteras de los usuarios. Estamos hablando de pérdidas millonarias por un carácter fuera de sitio.
En España, la Oficina de Seguridad del Internauta (OSI) del INCIBE ha documentado campañas de typosquatting contra entidades bancarias como BBVA, CaixaBank y Santander, con dominios tipo bbva-es.com o caixabank-online.net. Si alguna vez recibes un SMS con un enlace bancario sospechoso, estos pasos te ayudarán a reaccionar rápido si ya has picado.
Los atacantes que montan estas operaciones no improvisan. Usan kits de phishing automatizados que clonan webs enteras en minutos y configuran la infraestructura de recogida de credenciales de forma industrial.
Cómo detectar un dominio falso antes de caer
La buena noticia: con un poco de atención, el typosquatting es detectable. La mala: requiere un hábito que la mayoría no tiene.
Revisa la barra de direcciones, siempre. Antes de introducir credenciales en cualquier web, mira la URL completa. No el candado verde (los atacantes también usan HTTPS con certificados gratuitos de Let's Encrypt), sino el dominio en sí. Letra por letra si hace falta.
Señales de alerta concretas:
- Caracteres sospechosos: la l minúscula y el 1, la O mayúscula y el 0, la rn que parece una m. Comprueba que el dominio coincide exactamente con el oficial.
- TLD inusual: si tu banco opera con .es y el enlace termina en .co, .info o .xyz, desconfía.
- Subdominios engañosos: paypal.com.attack.xyz no tiene nada que ver con PayPal. Lo que importa es el dominio principal, no lo que hay antes del primer punto por la izquierda.
- Certificado SSL: haz clic en el candado y verifica a quién se ha emitido el certificado. Un certificado DV (Domain Validation) solo confirma que el dominio existe, no que sea legítimo.
- Redirecciones múltiples: si haces clic en un enlace y la URL cambia varias veces antes de cargar, algo huele mal.
Herramientas útiles para verificar dominios sospechosos:
| Herramienta | Qué hace | URL |
|---|---|---|
| VirusTotal | Analiza URLs contra decenas de motores antimalware | virustotal.com |
| URLscan.io | Escaneo visual y técnico de cualquier URL | urlscan.io |
| WHOIS Lookup | Consulta quién registró el dominio y cuándo | whois.domaintools.com |
| PhishTank | Base de datos colaborativa de URLs de phishing | phishtank.org |
| dnstwist | Genera permutaciones de un dominio para detectar typosquatting | github.com/elceef/dnstwist |
La herramienta dnstwist merece mención especial: es open source, la puedes ejecutar contra tu propio dominio y te muestra qué variaciones ya están registradas. Si gestionas un negocio online, ejecútala periódicamente.
Cómo protegerte del typosquatting
La protección contra dominios falsos y URLs parecidas combina hábitos personales con herramientas técnicas. Ninguna solución por sí sola es suficiente.
A nivel personal:
- Usa marcadores del navegador para acceder a tus servicios habituales (banco, correo, tiendas). Nunca escribas la dirección a mano ni uses enlaces de emails.
- Activa la autenticación en dos factores (2FA) en todas las cuentas que lo permitan. Aunque un atacante robe tus credenciales vía web imitación, el segundo factor le bloquea el acceso. Puedes empezar por blindar tus cuentas bancarias.
- Usa un gestor de contraseñas. Bitwarden, 1Password o KeePass no autocompletarán credenciales en un dominio que no coincida exactamente con el guardado. Es una capa de protección automática y muy efectiva.
- Mantén el navegador actualizado. Chrome, Firefox y Edge incorporan filtros anti-phishing (Google Safe Browsing, Microsoft SmartScreen) que detectan muchos dominios de suplantación de dominio.
A nivel empresarial:
- Registra las variaciones tipográficas más probables de tu dominio. Sí, cuesta dinero, pero menos que una crisis reputacional.
- Implementa DMARC, SPF y DKIM en tu correo corporativo para dificultar que alguien envíe emails desde dominios similares al tuyo.
- Monitoriza registros de nuevos dominios parecidos al tuyo con servicios como DNSTwist, PhishLabs o Bolster.
- Forma a tu equipo. La mayoría de incidentes de typosquatting entran por un email que alguien abre sin fijarse. La tecnología protege perímetros, pero el eslabón humano sigue siendo el vector de entrada más explotado.
Typosquatting en el ecosistema de desarrollo de software
Hay una variante especialmente traicionera: el typosquatting en repositorios de paquetes. En 2022, investigadores de la firma Checkmarx descubrieron más de 29.000 paquetes maliciosos en PyPI (el repositorio de Python) y npm (JavaScript) que usaban nombres casi idénticos a paquetes populares.
Un desarrollador escribe pip install reqeusts en lugar de requests, y acaba instalando código malicioso que roba variables de entorno, tokens de API o abre puertas traseras. Eso conecta directamente con amenazas más graves como los exploits zero-day, donde la vulnerabilidad ya está dentro de tu sistema antes de que nadie la detecte.
GitHub, npm y PyPI han implementado medidas de detección, pero el volumen de paquetes nuevos hace imposible revisarlos todos. Si desarrollas software, verifica siempre el nombre exacto del paquete, su número de descargas y su autor antes de instalarlo.
Preguntas frecuentes
¿Es ilegal registrar un dominio con typosquatting?
Depende de la jurisdicción y la intención. La política UDRP (Uniform Domain-Name Dispute-Resolution Policy) de ICANN permite reclamar dominios registrados de mala fe ante un panel de arbitraje. En España, la Ley de Marcas ofrece protección adicional por vía judicial. Pero ambos procesos son lentos y el atacante puede operar durante meses antes de que se resuelva.
¿Mi antivirus me protege del typosquatting?
Parcialmente. La mayoría de antivirus modernos incluyen módulos de protección web que bloquean dominios conocidos de phishing y suplantación de dominio. Pero un dominio recién registrado puede tardar horas o días en aparecer en las listas negras. No confíes solo en el antivirus: los marcadores del navegador y un gestor de contraseñas son complementos necesarios.
¿Qué hago si he introducido mis datos en una web falsa?
Cambia la contraseña de la cuenta afectada inmediatamente desde la web oficial (accediendo por marcador, no por enlace). Activa 2FA si no lo tenías. Revisa movimientos bancarios si has introducido datos de pago. Reporta el dominio en PhishTank y al INCIBE (017) para que lo bloqueen cuanto antes.
¿Los ataques homógrafos con Unicode siguen funcionando?
Los navegadores modernos mitigan parcialmente este vector mostrando la representación Punycode (xn--...) cuando un dominio mezcla scripts Unicode. Chrome, Firefox y Edge implementan esta protección desde 2017-2018. Pero no todos los clientes de correo o apps de mensajería lo hacen, así que el riesgo persiste fuera del navegador.
El siguiente paso
Abre tu gestor de contraseñas ahora mismo —o instala uno si no lo tienes— y crea marcadores para las cinco webs donde introduces credenciales con más frecuencia: tu banco, tu correo, tu tienda habitual. A partir de hoy, accede siempre por marcador, nunca escribiendo la dirección ni siguiendo enlaces. Ese único hábito neutraliza la gran mayoría de ataques de typosquatting y dominios falsos. Si quieres profundizar en cómo los atacantes sofistican sus técnicas de suplantación, echa un ojo a cómo funciona el spear phishing, el hermano mayor y más peligroso del phishing genérico.
