¿Cuál es la diferencia entre “apple.com” y “apple.com”? El primero es un sitio de phishing

Alguna vez te habrás cruzado con algún intento de estafa en tu casilla de correo electrónico: abundan los mensajes que simulan ser de una entidad bancaria o algún portal de inversiones online que bajo esta mascarada buscan atarantarte con alguna alerta u oferta para obtener tus datos personales (léase números de identificación, claves de cuentas bancarias, números de tarjetas de crédito).

Muchos se disfrazan de webs de reconocida confianza, tan solo cambiando a “gmail.co” o “gmial.com” para hacerse pasar por “gmail.com”. Pero incluso al más atento internauta se le podría pasar reconocer la diferencia entre "apple.com" y "apple.com": el segundo es el dominio verdadero de la firma de la manzana, mientras el primero es un sitio falso cuyo dominio está escrito en un alfabeto distinto regular, pero que simula la escritura del original.

Según reporta Fortune, Bruce Schneier, un experto en seguridad cibernética que trabaja en IBM advirtió hace más de una década sobre la vulnerabilidad de varios navegadores ante la imitación de la web de pagos PayPal a través PayPaI, de escritura similar, que termina en una mayúscula "i" en lugar de una letra minúscula "l".

Ahora esta modalidad de phising fue vuelta a poner en debate cuando la semana pasada Xudong Zheng, un desarrollador web de la pequeña empresa de software SliceOne, blogueó al respecto: creó un sitio de ejemplo, "apple.com", para falsificar el legítimo "apple.com", demostrando así el potencial de duplicidad.

¿Cómo funciona? Los criminales aprovechan la posibilidad de registrar dominios con caracteres extraídos de varios alfabetos distintos del script por defecto en latín, letras que aparentan ser otras y son casi imposibles de distinguir una de la otra, como ocurre con la "O" del alfabeto griego, la "O" del cirílico y la "O" del latín.

Así "Google.com" se escribe así en el alfabeto latín, mientras que con la “O” del cirílico se lee "Google.com". ¿Encuentras la diferencia?

Los navegadores web usan una herramienta llamada punycode —que traduce caracteres de Unicode, un estándar de codificación para ordenadores, para mostrar miles de tipos de símbolos, incluidos los de muchos idiomas— para mostrar nombres de dominio extranjeros en inglés. Así que el dominio falso de Zheng fue originalmente "xn--80ak6aa92e.com", referido a las letras cirílicas en Unicode que se leen como "apple.com" en ASCII (otro estándar de codificación que contiene símbolos más familiares incluyendo el alfabeto latín, números arábigos y varios signos de puntuación).

Esto se conoce como un ataque homográfico. Si bien navegadores como Chrome limitan estos ataques —ocultan la traducción Unicode y muestran la escritura verdadera si el dominio contiene caracteres de varios idiomas diferentes— el navegador de Google (usado en el 58,9% de sesiones de Internet a nivel global), junto a Firefox y Opera falla si todos los caracteres son reemplazados por un símbolo similar de un solo idioma extranjero. Safari de Apple e Internet Explorer y Edge de Microsoft no parecen afectados.

El dominio "аррӏе.com", registrado como "xn--80ak6aa92e.com", elimina el filtro utilizando solo caracteres cirílicos. Puedes comprobarlo ingresando esa dirección a tu ventana de Chrome, Firefox u Opera y viendo cómo cambia a una traducción (la web en cuestión no supone ningún peligro, fue creada por Zheng con fines demostrativos).

En muchos casos, la única forma de detectar el engaño es verificar el certificado SSL de un sitio, un archivo digital que verifica criptográficamente su identidad. En Chrome puedes hacer esto haciendo clic en el botón "tres puntos" en la esquina superior derecha de la ventana del navegador, haciendo clic en "más herramientas", luego en "herramientas de desarrollo", luego seleccionando "seguridad" y finalmente "ver certificado", donde se revela la verdadera escritura detrás de la URL con la que nos topemos.

Zheng reportó el problema al equipo de seguridad de Chrome el 20 de enero, lo que Google consideró un “error de severidad media”. Chrome creó una solución el 23 de marzo, que estará disponible en un parche con la versión 58, programada para alrededor del 25 de abril, de acuerdo con el calendario de desarrollo del software.

Mozilla aún no anuncia soluciones definitivas pero hasta entonces puedes modificar la configuración del navegador Firefox para establecer el funcionamiento de la herramienta punycode. Para ello, escribe "about: config" en la barra de URL, busca "punycode" y cambia el valor de "false" (falso) a "true" (verdadero).

Hasta que se supere la brecha de seguridad, se recomienda nunca usar un enlace que llegue en un correo electrónico o similar. Y aunque suene tedioso, es preferible escribir manualmente cualquier dirección web en la barra de direcciones URL antes de cliquear enlaces de dudosa procedencia.

Hans Huerto

Si te gustó esta noticia, entérate de más a través de nuestros canales de Facebook y Twitter.