Cómo detectar un dominio de phishing: señales y métodos
Los dominios de phishing imitan URLs legítimas para engañar a los usuarios. Aprende a analizar una URL sospechosa y a proteger tu marca.
Un dominio de phishing imita la apariencia visual de una URL legítima para hacer creer al usuario que está en un sitio de confianza. Las señales a buscar: ligeras modificaciones en la URL (una letra transpuesta, un TLD diferente, una estructura de subdominio engañosa), la presencia de HTTPS que no prueba nada sobre la legitimidad, y palabras tranquilizadoras como "seguro" u "oficial" en el propio dominio. Este artículo explica cómo los atacantes construyen estos dominios, cómo leer una URL sospechosa y qué pueden hacer las marcas cuando alguien las está suplantando.
Cómo construyen los atacantes un dominio de phishing
Cuatro técnicas principales se usan para crear dominios que engañan a primera vista.
Typosquatting de phishing
A diferencia del typosquatting comercial (que busca capturar tráfico), el typosquatting de phishing está diseñado para hacer creer a los usuarios que la URL es legítima después de llegar a través de un enlace en un correo electrónico o mensaje. Patrones habituales: microsofft.com (letra duplicada), arnazon.com (sustitución de letra), payapl.com (letras transpuestas).
Los objetivos son predecibles: bancos, plataformas en la nube, procesadores de pago y redes sociales. Según el Anti-Phishing Working Group (APWG), las instituciones financieras y los servicios de pago figuran consistentemente entre las categorías más suplantadas. BBVA, Santander, CaixaBank, Mercado Pago y PayPal aparecen repetidamente en los informes de phishing dirigidos a usuarios hispanohablantes.
Homoglifos y ataques IDN
Los nombres de dominio internacionalizados (IDN) permiten caracteres no ASCII, lo que abre la puerta a la suplantación visual mediante caracteres de otros alfabetos. La "а" cirílica (U+0430) es visualmente idéntica a la "a" latina en prácticamente todas las fuentes. La "р" cirílica es idéntica a la "p" latina. Así, "раypal.com" (р y а son cirílicas) puede registrarse y aparecer como "paypal.com" a un observador descuidado.
La mayoría de los navegadores modernos muestran ahora la representación Punycode (xn--...) cuando un dominio mezcla scripts diferentes. Pero las sustituciones de un solo script, donde el atacante usa un carácter cirílico que corresponde visualmente al original latino, aún pueden pasar la inspección visual. Si una URL parece perfectamente correcta pero algo genera desconfianza, pega el dominio en un conversor de Punycode para verificarlo.
Subdominios engañosos
Esta técnica es una de las más efectivas porque explota la lectura de izquierda a derecha y el hecho de que los usuarios se detienen en la primera palabra de confianza. La estructura:
https://bancosantander.es.inicio-seguro.xyz/cuenta/verificar
|_______________|_________________|_____|
Subdominio Dominio real TLD
engañoso (atacante)
El dominio real aquí es inicio-seguro.xyz. bancosantander.es es solo un subdominio. La regla a interiorizar: en cualquier URL, lo que importa es el dominio y el TLD inmediatamente antes del primer slash simple. Todo lo que precede en la parte del host es subdominio, no propiedad del dominio.
Combinaciones de palabras de confianza
Añadir palabras que señalan seguridad o autoridad al propio nombre de dominio: microsoft-cuenta-verificar.com, apple-id-seguro.com, bbva-centro-seguridad.com. Estas palabras son señales de alarma, no de confianza. Un servicio legítimo no necesita decirte que es "seguro" u "oficial" en su nombre de dominio. La presencia de "verificar", "inicio-sesion", "cuenta", "seguro", "oficial", "soporte" o "ayuda" en un dominio que no has escrito tú mismo debe despertar sospecha inmediata.
Cómo leer una URL sospechosa
Un enfoque estructurado para el análisis de URL elimina la ambigüedad:
https://seguro.acceso.bancosantander.es.sitioataque.xyz/cuenta/verificar
[1] [2 ][3 ][4 ][5 ][6][7 ]
1. Protocolo (https: prueba cifrado, no legitimidad)
2-4. Subdominios (pueden decir cualquier cosa; controlados por el propietario del dominio)
5. Dominio (quién lo posee. ESTO es lo que importa)
6. TLD
7. Ruta (puede decir cualquier cosa)
Verificación de URL en tres pasos:
- Ignorar todo lo que precede al último segmento separado por puntos antes del primer
/. - Identificar el dominio real (la palabra entre ese último punto y el
/). - Compararlo con el dominio legítimo esperado.
Para bancosantander.es.sitioataque.xyz/cuenta/verificar, el paso 1 elimina bancosantander.es., el paso 2 encuentra sitioataque, el paso 3 muestra que no coincide con bancosantander.es.
TLDs con mayor riesgo de phishing
Algunos TLDs aparecen desproporcionadamente en campañas de phishing:
| TLD | Notas |
|---|---|
| .xyz | Bajo coste, uso masivo en phishing |
| .top | Frecuente en suplantación de marcas |
| .tk | Gratuito (Tokelau); uso de phishing desproporcionado |
| .ml, .ga, .cf | ccTLDs gratuitos frecuentemente abusados |
| .click | Usado en fraudes de clic y phishing |
Dicho esto, .com sigue siendo el TLD que aparece en más URLs de phishing en valores absolutos, simplemente porque domina el registro global de dominios. El ratio phishing/sitios legítimos es peor en los TLDs gratuitos y casi gratuitos, pero el phishing en .com existe en volúmenes muy altos.
HTTPS no significa seguro
Hay que decirlo claramente: un candado en el navegador significa que la conexión está cifrada, no que el sitio sea de confianza. Los certificados TLS son emitidos gratuitamente por Let's Encrypt sin verificación de identidad. Cualquier atacante puede obtener un certificado HTTPS para su dominio de phishing en menos de un minuto. Según PhishLabs, más del 80% de los sitios de phishing ahora usan HTTPS. El candado es un indicador de seguridad para la conexión, no para el destino.
Herramientas para verificar un dominio sospechoso
Cuando encuentres un dominio sobre el que tienes dudas:
- Google Safe Browsing Lookup (transparencyreport.google.com/safe-browsing/search): comprobar si una URL ya está marcada como phishing o malware.
- VirusTotal (virustotal.com): enviar una URL para análisis simultáneo por decenas de motores de seguridad.
- URLScan.io: escanear una URL y ver una captura de pantalla de la página sin visitarla directamente.
- Conversor de Punycode: convertir un dominio a su representación ASCII para detectar homoglifos ocultos.
- Lookup RDAP de Domain Sentinel: comprobar cuándo se registró un dominio, quién es el registrador y si fue creado recientemente. Un dominio registrado esta semana que parece una gran marca es casi con certeza sospechoso.
Perspectiva de marca: proteger a tus usuarios del phishing en tu nombre
Cuando un dominio que imita tu marca se usa para phishing, tus clientes son las víctimas. Tienes tanto una obligación ética como un interés comercial práctico en actuar con rapidez. Cuanto antes identifiques y reportes un dominio de phishing, menos víctimas hace.
Cuatro acciones a tomar cuando descubres un dominio de phishing:
-
Consulta el registro RDAP para encontrar el contacto de abuse del registrador. Los datos RDAP de cada dominio incluyen una entidad con el rol "abuse" y un correo electrónico o URL de contacto. Envía un reporte detallado que incluya: el dominio de phishing, capturas de pantalla de la página fraudulenta, tu dominio legítimo y pruebas de marca si están disponibles.
-
Reporta a Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish) y a Microsoft SmartScreen. Ambos alimentan los sistemas de advertencia de los navegadores. Un dominio marcado en estas bases de datos mostrará una advertencia a pantalla completa antes de que los usuarios puedan acceder.
-
Informa a tus usuarios proactivamente si tienes razones para creer que ya han sido objeto del ataque. Una breve notificación por tus canales habituales, explicando el sitio falso y cómo identificar tu dominio legítimo, limita los daños y refuerza la confianza.
-
Para campañas activas a mayor escala en España, puedes reportar al INCIBE-CERT (incibe.es/empresas-y-profesionales/avisos-de-seguridad) que coordina la respuesta a incidentes de ciberseguridad que afectan a usuarios españoles. En México, el CERT-MX (cert.mx) cumple una función similar.
Cómo contactar eficazmente al equipo de abuse de un registrador
El registro RDAP del dominio de phishing contiene el contacto de abuse del registrador. Un reporte de abuse útil incluye:
- La URL completa de la página fraudulenta (no solo el dominio)
- Una captura de pantalla mostrando el contenido fraudulento
- Las URLs legítimas que se están imitando
- Tu número de registro de marca si está disponible
- Tus datos de contacto para seguimiento
Los reportes vagos ("este dominio parece sospechoso") son menos efectivos que las reclamaciones específicas y respaldadas por evidencias. Los registradores reciben miles de reportes de abuse diariamente y priorizan los que tienen documentación clara.
Cinco señales que deben generar sospecha ante cualquier URL: el dominio raíz no coincide con el servicio esperado; el dominio contiene subdominios que muestran un nombre de marca antes de un dominio desconocido; palabras como "seguro", "inicio-sesion" o "verificar" aparecen en el propio nombre de dominio; el TLD es .xyz, .top, .tk u otra extensión gratuita en un supuesto sitio de una gran marca; o el dominio fue registrado muy recientemente. Para las marcas, la mejor protección para tus usuarios comienza por detectar dominios lookalike antes de que sean usados en campañas de phishing. La lista de vigilancia de Domain Sentinel hace exactamente eso.
Empieza con un dominio que te importe
Búscalo gratis. Para recibir alertas cuando el estado cambie o la expiración se acerque, crea una cuenta. Son 30 segundos.