¿Qué es Typosquatting? Una definición de Typosquatting
Imagina que eres un cliente de comercio electrónico.
Vas a tu sitio web favorito y compras algo bueno, pero tu pedido nunca llega.
Entonces, te comunicas con tu sitio web favorito, pero dicen que nunca recibieron un pedido tuyo.
Revisas el historial de tu navegador y te das cuenta de que escribiste su sitio web como gafasdesol.com en lugar de gafassdesol.com.
¿Cómo pasó esto? Este sería un caso de typosquatting (o lo que también se conoce como secuestro de URL).
Ahora imagina que eres el propietario del sitio web de gafasdesol.com y estás perdiendo clientes debido a un sitio web impostor ingeniosamente diseñado.
Obviamente, esto no es bueno para sus ingresos ni para la reputación de su marca. Y ese es uno de los peligros del error tipográfico para los dueños de negocios.
una definición rápida
Para aquellos que quieren una definición rápida de typosquatting, aquí la tienen. Typosquatting es una forma de ciberocupación que se dirige a los usuarios que escriben mal las URL al ponerlas en la barra de dirección web (de ahí la palabra «error tipográfico»).
Este error tipográfico llevaría a los usuarios a un sitio web impostor que puede tener intenciones maliciosas. Estos errores tipográficos podrían ser:
Agregar o quitar letras (como “verzon.com en lugar de “verizon.com”),
Cambiar números por letras (“1” en lugar de “l”), o incluso
Agregar puntuación aleatoria en la URL (como agregar un punto adicional).
Realmente no hay límite para el tipo de sitio web al que se dirigirá un typosquatter, pero es más beneficioso para ellos apuntar a sitios web de alto tráfico.
Pueden ser marcas populares, empresas importantes o incluso celebridades conocidas.
En cuanto a por qué los typosquatters invierten tiempo en llevar a cabo estas estafas, lo hacen para ganar dinero de alguna forma o manera.
Para aquellos que quieran saber más sobre la typosquatting y quizás no sepan a qué me refería cuando dije “ciberocupación”, sigan leyendo…
¿Qué es la ciberocupación?
De acuerdo con la Ley de Protección al Consumidor Anticiberocupación, la ciberocupación es:
“El registro, el tráfico o el uso de un nombre de dominio que sea idéntico, confusamente similar o dilutivo de una marca comercial o marca de servicio de otro que sea distintivo en el momento del registro del nombre de dominio, sin importar los bienes o servicios de las partes, con la intención de mala fe de lucrar con el fondo de comercio de la marca ajena”.
En términos sencillos (y cómo ocurre con mayor frecuencia), la ciberocupación es cuando alguien obtiene un dominio sabiendo que una marca establecida lo quiere o eventualmente lo querrá.
Luego, el propietario del dominio intentaría vender el dominio al propietario de la marca. Si es declarado culpable, este es un delito punible a través del acto mencionado anteriormente.
Se tendría que considerar que la persona en cuestión de ciberocupación tuvo la intención de hacerlo de «mala fe» para que se la considere culpable.
El proceso de determinar si alguien actuó de mala fe incluye la consideración de nueve factores.
Exploremos un par de ejemplos de ciberocupación…
Un ejemplo de ciberocupación sería si un restaurante local de tacos comenzara a experimentar con una promoción titulada «TacoMania».
La promoción termina siendo un éxito y marcan el término. Sin embargo, una persona no afiliada ve la popularidad del término y prevé que el dominio tacomania.com tiene mucho valor potencial para el restaurante que puede aprovechar.
Entonces, esta persona compra el dominio con la intención de dar la vuelta y vender el dominio al restaurante.
Un ejemplo del mundo real de ciberocupación es la historia de MikeRoweSofe vs Microsoft.
Básicamente, un adolescente llamado Mike Rowe compró el dominio mikerowesoft.com. Microsoft sintió que el dominio era demasiado similar al nombre de su empresa.
Le ofrecieron a Mike $10 por el dominio, a lo que respondió pidiendo $10,000. Después de unos breves 15 minutos de fama como el «pequeño» que lucha contra «el hombre», Microsoft afirmó que se trataba de un caso de ciberocupación.
Finalmente llegaron a un acuerdo extrajudicial por una Xbox.
Si bien todo esto parece una tontería, lo que hizo Mike fue, de hecho, un acto cuestionable y podría considerarse un acto de ciberocupación.
¿Cómo saber si eres víctima de ciberocupación?
Una señal de ciberocupación es que el propietario del dominio no lo esté utilizando para nada.
Este es especialmente el caso si escribe el nombre de dominio y lo lleva a un sitio que simplemente anuncia que el nombre de dominio está a la venta.
Esto no significa que el propietario del dominio esté incuestionablemente ciberocupado, pero debería generar sospechas.
Otro uso dudoso de un dominio en cuestión es si el propietario del dominio simplemente usa el sitio para publicitar a sus competidores.
Volviendo a nuestro ejemplo de TacoMania, si el propietario del dominio solo estuviera usando el dominio para anunciar restaurantes mexicanos locales que no sean los tuyos, entonces podrías hacerte sospechoso. Sus opciones aquí serían emprender acciones legales o, si lo considera más asequible, simplemente comprar el dominio a la persona que lo posee actualmente.
Qué es Typosquatting: una mirada detallada
Como se mencionó anteriormente, el typosquatting es un tipo de cybersquatting.
También se conoce como secuestro de URL debido al hecho de que el typosquatter básicamente intenta secuestrar el tráfico que tiene la intención de ir a una URL diferente.
Aprovechándose de los usuarios que cometen errores tipográficos al ingresar una URL en el campo URL de su navegador, el error tipográfico es un error fácil de cometer.
Algunos de los tipos de typosquatting que puede encontrar podrían incluir:
Errores tipográficos o errores ortográficos comunes: un error tipográfico podría ser algo como google.com. En cuanto a un error ortográfico común, esto podría ser como usar la ortografía incorrecta «firey» en lugar de la ortografía correcta fiery (es decir, «fireyfoods.com» en lugar de «fieryfoods.com»).
Omitir letras o signos de puntuación: esto podría parecerse a espn.cm o wwwespn.com.
Agregar puntuación: algo como «CheapSSL-Security.com» en lugar de «CheapSSLsecurity.com» sería un ejemplo de esto.
Cambiar la extensión del dominio: Microsoft.org en lugar de Microsoft.com.
Estas son algunas de las formas más comunes en que un ciberdelincuente podría usar el typosquatting para engañarlo.
Por favor, asegúrese de verificar siempre dos veces su URL. También puede comprobar la identidad de un sitio web a través de los detalles de su certificado SSL haciendo clic en el icono del candado junto a la URL y luego en «certificado».
La diferencia entre Typosquatting y Cybersquatting
Como se explicó anteriormente:
Typosquatting es cuando un «typosquatter» compra una URL que se parece a un sitio web establecido pero contiene un error tipográfico sigiloso.
Mientras que la ciberocupación es cuando alguien compra un nombre de dominio que está relacionado con una marca establecida, para poder venderlo a la marca más tarde a un precio más alto.
Si bien el typosquatting es técnicamente un tipo de cybersquatting, generalmente se clasifican como dos actos separados, como se detalla anteriormente.
Entonces, la mayor diferencia fundamental aquí es el final del juego.
Ambas estafas necesitan que los usuarios piensen que están visitando el sitio web legítimo de una empresa o marca cuando en realidad no es así.
la mayor diferencia entre estos tipos de estafas es:
Typosquatters está tratando de hacer que los usuarios interactúen y se comprometan con su sitio web simulado de alguna manera.
Mientras que alguien que está ciberocupando finalmente quiere vender su URL «secuestrada».
Los peligros del typosquatting y cómo te afecta
Typosquatting puede ser peligroso tanto para el usuario que escribe en el dominio incorrecto como para el sitio web que se está suplantando.
Para el usuario, cometer este simple error puede derivar en algo bastante inofensivo o en un sitio malicioso.
Los usuarios podrían terminar en un sitio web que:
Lo redirige a otro sitio web que vende productos de la competencia al sitio al que pretendía ir.
También podría terminar en un sitio web que se burla del sitio al que tenía la intención de ir.
Esos dos últimos fueron probablemente el mejor de los casos. Estos son algunos de los resultados potenciales más peligrosos de aterrizar en un sitio web de typosquatting:
El sitio web imita su sitio web previsto y lo invita a comprar algo con grandes ofertas.
Cuando cree que está comprando un producto, en realidad le está dando su número de tarjeta de crédito e información de contacto a un ciberdelincuente.
Experimenta el mismo escenario anterior y simplemente nunca recibe el artículo. Sí, esto realmente es una estafa.
Un escenario similar al primero, pero esta vez, el sitio web impostor instala malware en su dispositivo.
Y lo que empeora las cosas es que esto sucederá sin su conocimiento. Esto puede terminar llevándolo a un sitio web con anuncios maliciosos.
Se encontrará víctima de fraude financiero o de identidad. Cuando proporciona su información personal a un sitio web peligroso, esto puede conducir a un robo de identidad o financiero significativo.
Estos ataques tampoco se limitan al usuario final común. Si opera en el mundo B2B, un ataque como este podría usarse contra otras empresas.
Para los propietarios de sitios web que imitan su sitio web en un ataque de typosquatting, también existen algunos peligros para usted.
Relacionado principalmente con la pérdida de clientes y, a su vez, la pérdida de ingresos.
Los clientes potenciales no llegan a su sitio web.
Los clientes que aterrizan en un sitio malicioso, lo más probable es que tengan un mal sabor de boca (incluso si no es culpa suya).
Esto podría dañar la reputación de su marca si se corre la voz de que hay sitios web falsos que se parecen al suyo y son peligrosos.
Si usted es propietario de un sitio web, estoy seguro de que se pregunta si hay alguna manera de evitar que esto le suceda a su negocio. Aquí hay algunas maneras de adelantarse a los errores tipográficos:
Comprar dominios similares
Puede adelantarse al problema comprando nombres de dominio similares. Serán relativamente baratos y valdrán la pena considerando los dolores de cabeza que puedes evitar.
Si se pregunta qué dominios debe comprar, puede experimentar con diferentes nombres de dominio en una herramienta que le dirá qué tráfico está recibiendo un dominio, como SEMRUSH.
Por ejemplo, YouTube.com obtuvo 22 mil millones de visitas en febrero de 2021.
qué es un ejemplo de typosquatting: una captura de pantalla de SEMRUSH de YouTube.com que muestra sus estadísticas de tráfico web
Captura de pantalla de SEMRUSH que muestra cuánto tráfico recibió YouTube.com en febrero de 2021.
El dominio typosquatting yutube.com, por otro lado, obtuvo 6.900 visitantes en el mismo período.
Un ejemplo de lo que es typosquatting de un dominio yutube.com y sus estadísticas de tráfico web
Captura de pantalla de SEMRUSH que muestra cuánto tráfico recibió yutube.com en febrero de 2021.
Vale la pena que una marca como YouTube compre este dominio y otros dominios de typosquatting similares (si aún no lo han hecho) debido a la cantidad de visitas que recibe cada mes.
Es probable que sus nombres de dominio mal escritos no tengan números de tráfico discordantes como este (a menos que sea una corporación importante), pero al menos le dará una idea de cuáles son las variaciones más comúnmente mal escritas de su nombre de dominio.
Compre un certificado EV SSL y muestre los sellos del sitio
Una forma de facilitar que sus usuarios puedan identificar que están en el sitio web correcto es comprar e instalar un certificado EV SSL.
Al pasar por un proceso de validación más extenso, los usuarios podrán identificar quién es usted a través de los detalles de su certificado (como se muestra anteriormente).
Esto proporciona más seguridad que un certificado SSL DV o OV, que no muestran los detalles de su empresa tan claramente (o en el caso de DV, en absoluto).
La mayoría de los certificados EV SSL también vienen con un sello de sitio, lo que consolida aún más que usted es un sitio web seguro y confiable.
Todos estos indicadores visuales permitirán a sus usuarios identificar fácilmente que no están en un sitio web con errores tipográficos.
La investigación de usuarios realizada a través de Google Surveys muestra que los clientes confían en la certificación McAfee SECURE hasta 10 veces más que en otros sellos del sitio.
Regitra tu nombre de marca
Otra forma de ayudar a combatir los ataques de typosquatting es registrar sus marcas.
Esto podría incluir sus nombres de marca, eslóganes y logotipos. Puede registrar su marca en la Oficina de Patentes y Marcas. Esto ayudará a proporcionar protección/recurso en caso de que se encuentre en medio de una investigación por error tipográfico.
En términos de prevención, un typosquatter inteligente puede ser asustado por alguien que ha cubierto sus bases con marcas registradas. En lugar de intentar estafarlo, se dirigirán a alguien que no ha tomado las medidas adecuadas para proteger su marca.
