Suplantación de Dominio

¿Qué es la Suplantación de Dominio?

La suplantación de dominio es una técnica de ciberataque en la que los atacantes suplantan un dominio legítimo para engañar a usuarios, eludir sistemas de seguridad u obtener acceso no autorizado. Esto puede implicar falsificar encabezados de correo electrónico, registrar dominios similares o explotar vulnerabilidades de DNS para redirigir el tráfico.

Tipos de Suplantación de Dominio

Suplantación de Correo Electrónico

Falsificar la dirección "From" en correos electrónicos para parecer de un dominio de confianza:

Legítimo:
  De: support@paypal.com
  Remitente real: Servidores de correo de PayPal

Suplantado:
  De: support@paypal.com
  Remitente real: Servidor del atacante
  Sin SPF/DKIM/DMARC, parece legítimo

Suplantación del Nombre de Visualización

Manipular el nombre de visualización del remitente mientras se utiliza un correo electrónico diferente:

Pantalla: CEO John Smith <john.smith@company.com>
Correo real: attackercontrol@malicious.com
Muchos clientes de correo muestran solo el nombre de visualización prominentemente

Suplantación de Dominio Similar

Registrar dominios que se parecen a los legítimos:

Legítimo: paypal.com
Similares:
  paypa1.com (1 en lugar de l)
  paypal-secure.com (palabra añadida)
  paypai.com (error tipográfico)
  paypаl.com (letra cirílica 'а' en lugar de 'a' latina)

Suplantación de DNS (Envenenamiento de Caché)

Corromper cachés DNS para redirigir tráfico:

Usuario escribe: bank.com
DNS envenenado: Devuelve IP del atacante en lugar del banco real
Usuario llega a: Fake bank.com (sitio de phishing)
Usuario piensa: Está en el sitio real (la URL muestra bank.com)

Suplantación de ID de Llamada (VoIP)

Mostrar números de teléfono falsos (menos relevante para dominios pero concepto relacionado).

Cómo Funciona la Suplantación de Correo Electrónico

La Brecha del Protocolo SMTP

SMTP (protocolo de correo) no tiene verificación integrada del remitente:

Conversación SMTP:
Cliente: HELO attacker.com
Servidor: 250 Hola
Cliente: MAIL FROM: <ceo@victimcompany.com>
Servidor: 250 OK (acepta sin verificación)
Cliente: RCPT TO: <employee@victimcompany.com>
Servidor: 250 OK
Cliente: DATA
From: ceo@victimcompany.com
Subject: Transferencia bancaria urgente necesaria
→ El servidor lo entrega

Nada en SMTP verifica que el remitente realmente controle victimcompany.com.

Manipulación de Encabezados

Los atacantes elaboran encabezados que eluden filtros básicos:

From: "CEO John Smith" <ceo@legitimate.com>
Reply-To: attacker@malicious.com

El usuario ve un remitente de confianza
Las respuestas van al atacante

Escenarios de Ataque de Suplantación en el Mundo Real

Compromiso de Correo Electrónico Empresarial (BEC)

1. El atacante investiga la estructura de la empresa
2. Suplanta el correo electrónico del CEO al CFO
3. "Transferencia bancaria urgente necesaria para adquisición"
4. El CFO transfiere fondos pensando que es legítimo
5. La empresa pierde millones

Campañas de Phishing

1. Suplanta dominio de banco o empresa de tecnología
2. Envía correos sobre "actividad sospechosa"
3. El enlace va a un dominio similar
4. El usuario ingresa credenciales en sitio falso
5. El atacante roba las credenciales

Fraude de Factura

1. El atacante suplanta el dominio del proveedor
2. Envía factura actualizada con detalles bancarios del atacante
3. La víctima paga al atacante en lugar del proveedor real
4. El proveedor legítimo nunca recibe el pago

Distribución de Malware

1. Suplanta empresa de software confiable
2. Correo con "actualización de seguridad crítica"
3. El archivo adjunto contiene malware
4. El usuario confía en el "remitente legítimo" y lo abre

Detección de Suplantación de Dominio

Análisis de Encabezado de Correo Electrónico

Examina los encabezados completos para inconsistencias:

From: support@paypal.com
Return-Path: <random@suspicious.com>  ← Bandera roja
Received: from unknown.net [1.2.3.4]  ← No son servidores PayPal

Un correo real tendría:
Received: from mx.paypal.com [IP verificada de PayPal]
Return-Path: <support@paypal.com>

Verificación SPF/DKIM/DMARC

Authentication-Results: recipient.com;
  spf=fail smtp.mailfrom=paypal.com  ← Suplantado
  dkim=none                           ← No firmado
  dmarc=fail                          ← Política fallida

Los correos legítimos de PayPal pasarían todas las verificaciones.

Inspección Visual

Busca diferencias sutiles:

Real: paypal.com
Falso: paypal-secure.com (palabra adicional)
Falso: paypаl.com (carácter cirílico)
Falso: paypal.co (falta la 'm')

Anomalías de Comportamiento

• Lenguaje urgente ("¡Actúa ahora!", "Transferencia bancaria inmediatamente")
• Solicitudes inusuales (CEO pidiendo tarjetas de regalo)
• Errores de ortografía/gramática
• Solicitudes de cambiar detalles de pago
• Enlaces a dominios desconocidos

Prevención de Suplantación de Dominio

Implementa Autenticación de Correo Electrónico (Crítico)

example.com.    IN    TXT    "v=spf1 include:_spf.google.com -all"

Autoriza qué servidores pueden enviar para tu dominio

Firma criptográficamente los correos salientes
Los receptores verifican la firma usando la clave pública DNS
Los correos alterados fallan en la verificación

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Indica a los receptores que rechacen correos que fallen SPF/DKIM
Proporciona informes sobre intentos de suplantación

p=none       Solo monitorea (comienza aquí)
p=quarantine Envía fallos a spam
p=reject     Bloquea completamente los fallos (objetivo)

Registra Dominios Defensivos

Registra proactivamente dominios similares:

Principal: company.com

Registra:
Errores tipográficos comunes: conpany.com, compamy.com
Diferentes TLDs: company.net, company.org, company.co
Con guiones: com-pany.com, company-inc.com
Plurales: companies.com

Luego ya sea:

• Redirige al dominio principal
• Aparca con página informativa
• Utiliza para propósitos legítimos

Monitorea Menciones de Marca

Utiliza servicios para detectar registros de dominio no autorizados:

• Google Alerts para registros de dominios con nombre de marca
• Registros de Transparencia de Certificados (monitorea certificados SSL emitidos)
• Monitoreo WHOIS para nuevos registros

• DomainTools
• Sift by Cloudflare
• BrandShield
• Bolster

Capacitación de Empleados

Capacitación regular de conciencia de seguridad:

• Cómo identificar correos suplantados
• Verificar solicitudes sospechosas a través de canales alternativos
• Nunca hacer clic en enlaces en correos inesperados
• Verificar el dominio del remitente cuidadosamente
• Reportar correos sospechosos a TI

Controles Técnicos

p=reject (bloquea completamente el correo suplantado)

• Escanea dominios similares
• Señala correos externos que parecen internos
• Bloquea IPs de remitente conocidas como malas

[CORREO EXTERNO] Este correo se originó fuera de la organización

Verifica y desinfecta las URLs en correos antes de la entrega.

Solo permite métodos de envío aprobados (sin SMTP único).

Técnicas Avanzadas de Suplantación

Ataques de Homoglif

Utiliza caracteres visualmente similares de diferentes alfabetos:

Letra latina 'a' vs letra cirílica 'а' (U+0430)
Letra latina 'o' vs letra cirílica 'о' (U+043E)

googlе.com (letra latina 'e' reemplazada con cirílica 'е')
Parece idéntico a: google.com

googlе.com → xn--googl-6nd.com (codificado)
Los navegadores muestran: ⚠️ xn--googl-6nd.com

Suplantación de Subdominio

Crear subdominios que parecen dominios diferentes:

legitimate-bank.attacker.com
Parece: legitimate-bank (subdominio de attacker.com)
Los usuarios ven: "legitimate-bank" y asumen que es seguro

Ataque Man-in-the-Middle con Secuestro de DNS

1. El atacante compromete un servidor DNS o router
2. Cambia la resolución de bank.com a IP del atacante
3. Sirve sitio falso de banco
4. Usa certificado SSL válido (Let's Encrypt, gratuito)
5. El usuario ve https://bank.com con candado
6. El usuario piensa que es seguro, ingresa credenciales

Aspectos Legales y Regulatorios

Ley de Protección del Consumidor Anticiberocupación (ACPA)

Ley estadounidense que prohíbe el registro de dominios confusamente similares a marcas registradas.

Política Uniforme de Resolución de Disputas de Nombres de Dominio (UDRP)

Política de ICANN para resolver disputas de marca registrada:

• Los propietarios de marca pueden desafiar registros similares
• Proceso de arbitraje (más rápido/barato que tribunal)

Penas Criminales

La suplantación de dominio para fraude se procesa bajo:

• Ley de Fraude Electrónico (EE.UU.)
• Ley de Fraude y Abuso Informático (EE.UU.)
• Leyes similares en otras jurisdicciones

Las penas incluyen multas y encarcelamiento.

Respuesta a Suplantación de Dominio

Si Tu Dominio Está Siendo Suplantado

1. Implementa DMARC con p=reject

_dmarc.example.com.    TXT    "v=DMARC1; p=reject; rua=mailto:abuse@example.com"

2. Alerta a clientes/socios

- Notifica sobre campaña de suplantación

- Proporciona indicadores (qué buscar)

- Proporciona canal de reporte

3. Reporta a autoridades

- FBI IC3 (EE.UU.)

- Unidades de cibercrimen locales

- Grupo de Trabajo Contra Phishing (apwg.org)

4. Solicitudes de Eliminación

- Reporta sitios de phishing a proveedores de alojamiento

- Reporta a registradores de dominio

- Utiliza reporte de Google Safe Browsing

5. Monitorea reportes DMARC

- Identifica fuentes de suplantación

- Rastrea volumen de ataque y patrones

Si Descubres un Dominio Similar

1. Documenta evidencia

- Capturas de pantalla

- Datos WHOIS

- Encabezados de correo electrónico

2. Demanda UDRP (si posees marca registrada)

3. Reporte de abuso del registrador

4. Acción legal (si daño significativo)

Prueba de Tus Defensas

Prueba de Protección contra Suplantación de Correo Electrónico

# Envía correo suplantado de prueba a ti mismo
swaks --to employee@yourcompany.com --from ceo@yourcompany.com --server test-smtp-server.com --header "Subject: Correo Suplantado de Prueba"

# Verifica si se entrega o se bloquea
# Verifica resultados de autenticación en encabezados

Verifica Configuración DMARC

dig _dmarc.example.com TXT

# Debe devolver política (p=reject idealmente)
_dmarc.example.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Verifica SPF y DKIM

# SPF
dig example.com TXT | grep spf

# DKIM (verifica selectores comunes)
dig google._domainkey.example.com TXT
dig default._domainkey.example.com TXT

Utiliza Herramientas en Línea

• MXToolbox Domain Health Check
• dmarcian DMARC Inspector
• Google Admin Toolbox Messageheader
• PhishTank (verifica si tu dominio está reportado)

La suplantación de dominio es una amenaza seria pero puede mitigarse efectivamente mediante autenticación de correo electrónico adecuada, monitoreo y capacitación de usuarios.