La anatomía de la suplantación de dominio

La integridad del ecosistema digital corporativo está siendo atacada en un punto silencioso pero crucial: la infraestructura de identidad de Internet , especialmente la capa de nombre de dominio, DNS, los certificados TLS y el correo electrónico.

El phishing moderno rara vez se improvisa. En muchos casos, se trata de una operación estructurada de ingeniería social respaldada por una infraestructura , cuyo núcleo es la suplantación de dominios : el registro y uso de dominios similares.

Es importante separar dos fenómenos que comúnmente se confunden:

• Suplantación de un dominio legítimo por correo electrónico : alguien intenta suplantar la identidad de otro dominio @suaempresa.com sin autorización. Aquí es donde entran en juego SPF, DKIM y DMARC (política de autenticación y seguridad de correo electrónico). Previenen muchas cosas, pero no todas.
• Suplantación de identidad mediante un dominio similar : el atacante registra [nombre suaempresa-suporte.comdel dominio] suaempresaa.comy suaempresa-login.net crea la estafa desde este nuevo dominio. En este caso, DMARC no impide el registro ni el uso del dominio fraudulento, ya que se trata de otro dominio con su propia identidad en el DNS. Por ello, la monitorización continua del dominio y su rápida eliminación también son cruciales.

En resumen:

• Suplantación de identidad = «parece un dominio, pero es otro»
• Spoofing = «afirma ser el dominio, pero no lo es»

En la práctica, los ataques suelen ser combinados : el correo electrónico puede estar «falsificado» y contener enlaces a un dominio suplantado.

Comprender esta anatomía técnica (desde el registro del dominio hasta la emisión del certificado, desde la configuración del DNS hasta el uso del proxy inverso) es el primer paso hacia una defensa proactiva: reducir el tiempo de detección (MTTD) y el tiempo de respuesta (MTTR), desmantelando la campaña antes de que se intensifique.

---

La dominancia como pilar de la ingeniería social.

Durante años, el phishing fue sinónimo de mensajes mal redactados y URL grotescas.

Hoy en día, la sofisticación radica en explorar cómo nosotros (y nuestros sistemas) interpretamos las direcciones y confiamos en las señales.

Los atacantes registran dominios que difieren del original en detalles casi imperceptibles, explotando «distancias mínimas» (pequeñas variaciones, gran efecto):

1. Typosquatting (error tipográfico)
   Ej.: letras intercambiadas, duplicadas, omitidas.
2. Combosquatting (marca + términos auxiliares)
   Ej.: -suporte, -login, -seguranca, -atualizacao, creando una “jerarquía oficial” a través de la semántica.
3. Ocupación de TLD (extensiones alternativas) Ej.: usar TLD menos monitoreados para escapar de bloqueos simples basados ​​en .com/ .com.br.
4. Homógrafo IDN/Unicode (apariencia idéntica, escritura diferente).
   Uso de caracteres de distintos alfabetos visualmente similares a los caracteres latinos. En algunos casos, el dominio puede presentarse en Punycode , pero esto no elimina el riesgo en todos los contextos (especialmente fuera del navegador, en aplicaciones y clientes).

En los dispositivos móviles, donde la ventana gráfica a menudo oculta parte de la URL, un dominio similar se vuelve aún más eficiente: el usuario ve el «comienzo correcto» y decide rápidamente .

El dominio cumple dos funciones claves en el golpe:

• Anclaje psicológico : reduce la fricción y disminuye la posibilidad de sospechas.
• Anclaje técnico : respalda el sitio web clonado y proporciona la base para los mecanismos de entrega (correo electrónico, anuncios, redirecciones). En el correo electrónico, el atacante puede autenticar el dominio fraudulento con SPF/DKIM/DMARC del propio dominio, lo que mejora la entregabilidad de la estafa, sin que esto demuestre la legitimidad de la marca.

---

La anatomía de la campaña (desde la adquisición hasta el abuso)

Los ataques de phishing y la suplantación de dominios ya no son iniciativas aisladas llevadas a cabo por particulares. Hoy en día, estos ataques operan como modelos de negocio estructurados, orientados a la obtención de beneficios a gran escala, con el sector financiero como uno de sus principales objetivos.

Un ejemplo paradigmático ocurrió en noviembre de 2024, cuando la Unidad de Delitos Digitales (UCD) de Microsoft, en colaboración con socios internacionales, tomó el control de aproximadamente 240 dominios maliciosos vinculados a la operación conocida como ONNX. Se trataba de una red de phishing como servicio operada por un ciberdelincuente egipcio identificado como MRxC0DER, cuyos dominios falsos se utilizaban para eludir los mecanismos de autenticación multifactor y explotar la confianza asociada a las principales marcas, especialmente las instituciones financieras y los propios servicios de Microsoft.

Para entender adecuadamente este tipo de campaña, ayuda analizarla como una cadena operativa continua, compuesta por etapas bien definidas: adquisición de activos → preparación de la infraestructura → entrega del ataque → explotación de la víctima → evasión de la detección → respuesta (o desmantelamiento de la operación) .

1) Adquisición de activos: registro de dominios e infraestructura

El primer paso no es enviar un correo electrónico, sino comprar (o piratear) la dirección .

• Registro de dominio con variaciones calculadas (tipo/combo/TLD/IDN).
• Contratación de hosting y/o utilización de infraestructura intermediaria (CDNs, proxies, redirectores).
• Preparación de páginas clonadas o un mecanismo dinámico (proxy).

Esta etapa ya deja rastros útiles para la defensa: patrones de servidor de nombres, ASN, proveedor de alojamiento, historial de abuso, recurrencia de campañas.

---

2) Preparación: DNS, certificado TLS y señales de confianza

Para aumentar las tasas de conversión, el atacante intenta parecer «normal».

Certificación TLS y el mito del candado.

Emitir un certificado TLS ayuda a evitar advertencias de «no seguro» y aumenta la confianza del usuario. El problema es cognitivo: TLS prueba el cifrado del transporte, no la legitimidad de la marca . El candado no significa «empresa real»; solo significa «conexión cifrada a ese dominio».

Monitoreo de la Transparencia de los Certificados (CT) como herramienta de detección temprana

Los certificados públicos de confianza suelen aparecer en los registros de transparencia . Monitorear CT es una forma eficaz de alerta temprana , ya que permite detectar certificados emitidos para dominios sospechosos con mucha antelación , a veces incluso antes del lanzamiento de la campaña.

En la práctica, el CT puede utilizarse como un sensor complementario, con cierto ruido: no todos los dominios similares son maliciosos y no todas las campañas dependen de un certificado público para su inicio. Aun así, como pilar de la detección de marcas, funciona muy bien.

---

3) Entrega de la estafa: correo electrónico, SMS, anuncios y tráfico «prestado»

La campaña debe lograr que la víctima tome el control.

• Correo electrónico: sigue siendo el canal más eficiente para la escala corporativa (y BEC/credenciales).
• SMS/WhatsApp: aumenta las tasas de conversión en entornos con baja madurez de seguridad.
• Anuncios patrocinados: captar intención (el usuario ya quiere acceder a “login”, “comprobante de pago”, “soporte”).
• Redirecciones: acortadores de URL, sitios web comprometidos, publicidad maliciosa.

El detalle clave: muchos controles tradicionales miran el mensaje y la dirección IP, pero la «pieza central» es el dominio similar .

---

4) Exploración: Clonación estática vs. proxy inverso (AiTM)

El antiguo método de clonación consistía en copiar HTML. El método moderno, en muchos casos, consiste en la intermediación en tiempo real.

Proxy inverso / Adversario en el medio (AiTM)

Las herramientas y kits de proxy inverso actúan como intermediarios: la víctima ingresa sus credenciales en un sitio web «idéntico», pero en la práctica se autentica con el servicio real a través de un atacante, que captura las credenciales y, lo más importante, los tokens/cookies de sesión.

Esto puede eludir la autenticación multifactor (MFA) tradicional (OTP/push) en ciertos flujos, ya que lo que otorga acceso no es la contraseña, sino la sesión ya establecida . Medidas como la autenticación resistente al phishing (p. ej., WebAuthn/passkeys) tienden a reducir drásticamente este tipo de ataque, pero su adopción aún no es homogénea.

---

5) Exfiltración y monetización: velocidad antes de la detección

La extracción de valor generalmente se planifica para que ocurra rápidamente, antes de que el SOC pueda reaccionar.

• Captura y reenvío: envío inmediato de credenciales/tokens a operadores (bots, paneles de control, integraciones).
• Ataques secuenciales: cambio de contraseña, autenticación de dos factores, creación de reglas de correo electrónico, cambios de clave/API, alteración de datos de pago.
• “Limpieza” post-estafa: redirección al sitio web legítimo para reducir sospechas (“parecía normal”).

Cuando hay intentos de capturar datos (pulsaciones de teclas/portapapeles), es importante tratarlo como una recopilación de datos a través de una página web y no confundirlo con «malware persistente» (la persistencia generalmente requiere instalación/explotación, que es un nivel diferente).

---

6) Evasión: encubrimiento, geofencing y análisis selectivo

Para sobrevivir, las campañas funcionan como un «sitio web condicional».

• Encubrimiento de IP: si el acceso proviene de rangos conocidos (bots, SOC, empresas de seguridad), muestra contenido benigno.
• Segmentación por agente de usuario: muestra la estafa solo en dispositivos móviles, lo que reduce el análisis en computadoras de escritorio.
• Geofencing: restringe el acceso por país/estado/ciudad para evitar el monitoreo global y los informes masivos.

Esto explica por qué, a menudo, un analista «abre el enlace» y no ve nada, pero la víctima sí.

---

Del incidente a la respuesta: desmantelando la campaña

La respuesta eficaz no es solo la «educación del usuario». Es poner en práctica la defensa mediante la infraestructura, con un manual claro:

1) Fortalecer el correo electrónico de dominio legítimo (suplantación real)

Aquí es donde entran en juego SPF/DKIM/DMARC, pero con el objetivo correcto: proteger su dominio, reducir la suplantación de identidad y recibir informes de visibilidad.

• SPF (autorización de envío de IP/host)
• DKIM (firma de mensaje criptográfico)
• DMARC (política + alineación con «De» + informes; acciones como quarantine/ reject)

Esto no evita que existan dominios similares, pero sí impide que el atacante «use el suyo».

2) Detección de marca: monitorizar antes de hacer clic

• Monitorizar nuevos registros similares (tipo/combo/TLD/IDN).
• Supervisar los registros CT para los certificados emitidos para dominios similares.
• Correlacionar con señales técnicas (DNS/ASN/servidor de nombres) y reputación.

La ventaja competitiva aquí es simple: detectar antes del envío masivo.

3) Desmantelamiento y contención

• Informes mediante listas y protecciones del navegador (para mostrar alertas al usuario).
• Notificaciones de registradores/hosts con evidencia objetiva (capturas de pantalla, encabezados, URL, IOC, prueba de suplantación de marca).
• Bloqueo en puertas de enlace/proxies internos y EDR/IdP cuando corresponda.

4) Métricas: MTTD + MTTR

Además de MTTR, siga:

• Tiempo hasta la detección (MTTD);
• tiempo hasta el bloqueo interno;
• Tiempo hasta lista negra/alerta mientras navega;
• Tiempo hasta la suspensión del dominio/alojamiento.

---

Conclusión: La integridad de la infraestructura como factor determinante.

La suplantación de nombres de dominio no es un problema que se pueda resolver con guías sencillas. Es un problema de integridad del tejido técnico que sustenta la identidad digital. Cuando un cliente es víctima de un fraude, la percepción rara vez es «el delincuente fue astuto», sino más bien «la marca fracasó».

Las empresas que consideran el dominio, el DNS, los certificados, el correo electrónico y la inteligencia de marca como superficies críticas pueden reducir las pérdidas, preservar la confianza y reaccionar antes de que la campaña alcance su máximo potencial. La detección temprana (en el registro del dominio, la emisión del certificado y la primera evidencia de problemas de infraestructura) les permite desmantelar la trampa antes de la fase de «envío».

Referencias:

• RFC 7208 — Marco de políticas del remitente (SPF) — Abril de 2014
  https://datatracker.ietf.org/doc/html/rfc7208
• RFC 6376 — Firmas de correo identificado con claves de dominio (DKIM) — Septiembre de 2011
  https://datatracker.ietf.org/doc/rfc6376/
• RFC 7489 — Autenticación, informes y conformidad de mensajes basados ​​en dominios (DMARC) — Marzo de 2015
  https://datatracker.ietf.org/doc/html/rfc7489
• RFC 9162 — Transparencia de certificados versión 2.0
  https://datatracker.ietf.org/doc/rfc9162/
• NIST SP 800-177 Rev. 1 — Correo electrónico confiable — 2019
  https://csrc.nist.gov/publications/detail/sp/800-177/rev-1/final
• NIST SP 800-61 Rev. 3 — Recomendaciones y consideraciones de respuesta a incidentes — Abril de 2025
  https://csrc.nist.gov/publications/detail/sp/800-61/rev-3/final
• MITRE ATT&CK — T1566 (phishing)
  https://attack.mitre.org/techniques/T1566/
• MITER ATT&CK — T1557 (Adversario en el medio)
  https://attack.mitre.org/techniques/T1557/
• Unicode TR46 — Procesamiento de compatibilidad IDNA de Unicode
  https://unicode.org/reports/tr46/
• Unicode TR36 — Consideraciones de seguridad de Unicode
  https://unicode.org/reports/tr36/