Hace ya unos cuantos años, tener que descargar un archivo ‘.zip’ desde un correo electrónico o una web era motivo para estar alerta, porque el riesgo de que pudiera ocultar software malicioso se hizo evidente para una gran mayoría de los usuarios, a fuerza de infecciones y sorpresas. Incluso en 2022, el 44% del malware distribuido se ha encontrado dentro de archivos comprimidos ‘.zip’ y ‘.rar’, según un informe de HP Wolf Security.
Hasta allí, nada nuevo. Sin embargo, el reciente lanzamiento de Google de ocho nuevos dominios de nivel superior (top-level domain, TLD), es decir, la extensión que aparece al final de las direcciones URL, como ‘.com’ o ‘.org’, ha creado confusión y una renovada dosis de riesgo. Ahora hay un total disponible de cerca de 1.500 terminaciones habilitadas por la Asignación de Nombres y Números de Internet (más conocida como ICANN, por sus siglas en inglés).
Pero entre esas ocho nuevas posibilidades que ha lanzado, el gigante tecnológico eligió dos que desataron la polémica: ahora es posible registrar sitios ‘.zip’ y ‘.mov’, que coinciden con la extensión de los archivos comprimidos y de los vídeos.
Los e-mails, algunos softwares y las redes sociales convierten automáticamente cualquier frase que posea una terminación ‘.com’, ‘.es’, ‘.net’, etc., en enlaces. Los estafadores pueden aprovechar esta ambigüedad y registrar sitios maliciosos, aguardando que alguien los escriba y otros hagan clic inocentemente, pensando que se trata de archivos.
El asunto es que los ciberdelincuentes, siempre creativos y oportunistas, ya están encontrando formas de hacer un mal uso de estos nuevos TLD, y aprovecharlos para colar ataques. Según detallan desde el blog de Avast, una de las estrategias consiste en crear sitios web con dominios ‘.zip’ que imitan los nombres de grandes compañías tecnológicas como Microsoft, Google, Amazon o PayPal. Entonces, cuando el usuario ve un enlace que termina con algo como "microsoft.zip", puede pensar que está descargando un archivo de Microsoft. Pero, en realidad, estás siendo dirigido a un sitio web potencialmente dañino.
Una vez dentro de esa web, los piratas informáticos pueden infectar los dispositivos ejecutando esquemas de phishing, suplantando la identidad de una empresa para robar datos personales, financieros o incluso llegar a sustraer dinero de tarjetas o cuentas bancarias. Y todo esto puede resultar más fácil de ejecutar dada la confianza que los nombres de las grandes compañías utilizadas como cebo pueden inspirar en los usuarios.
¿Cómo diferenciar entre un archivo y un sitio web que tienen la misma terminación?
Parece simple, pero se vuelve confuso. Los correos electrónicos, algunos softwares y las publicaciones en redes sociales convierten automáticamente cualquier frase que posea una terminación ‘.com’, ‘.es’, ‘.net’, etc., en enlaces en los que se puede hacer clic y redirigirse. Por eso los profesionales de la seguridad advierten que los estafadores pueden aprovecharse de esta ambigüedad que generan los nuevos TLD y registrar sitios maliciosos, aguardando que alguien los escriba y otros hagan clic inocentemente, pensando que se trata de archivos.
“Los actores de amenazas pueden registrar fácilmente nombres de dominio que probablemente otras personas usarán para referirse casualmente a nombres de archivos”, señala Randy Pargman, director de detección de amenazas en la firma de seguridad Proofpoint, en una entrevista con Ars Technica. “Luego, pueden usar esas conversaciones que el actor de amenazas ni siquiera tuvo que iniciar (o participar) para atraer a las personas a hacer clic y descargar contenido malicioso”.
Para comprenderlo mejor, Pargman, da un ejemplo concreto. “Un estafador con el control del dominio ‘photos.zip’, podría explotar el hábito de décadas de las personas de archivar un conjunto de imágenes dentro de un archivo zip y luego compartirlas en un correo electrónico o en las redes sociales. En lugar de mostrar photos.zip como texto sin formato –lo que habría sucedido antes de la mudanza de Google–, ahora muchos sitios y aplicaciones los están convirtiendo en un dominio en el que se puede hacer clic. Un usuario que cree que está accediendo a un archivo de fotos de alguien que conoce, podría ser llevado a un sitio web creado por estafadores”.
Y para disfrazar aún más el engaño, los estafadores “podrían configurarlo fácilmente para entregar una descarga de archivo ‘.zip’ cada vez que alguien visite la página e incluir cualquier contenido que deseen en ese archivo, como malware”, dijo Pargman.
La facilidad con la que se encuentra ahora el ciberdelincuente es que puede atraer víctimas sin enviar mensajes ni buscar blancos específicos. “Solo tuvo que registrar el dominio, configurar el sitio web para servir contenido malicioso y esperar pasivamente a que la gente cree accidentalmente enlaces a su contenido”, detalla Pargman. Además, “los enlaces parecen mucho más confiables porque vienen en el contexto de mensajes o publicaciones de un remitente confiable”.
Cómo protegernos de esta nueva estafa
La primera recomendación de los expertos es tratar cualquier TLD ‘.zip’ o ‘.mov’ con precaución, y evaluar seriamente si es seguro acceder a ese enlace, ya que podrían alojar contenido malicioso.
En segundo lugar, es importante supervisar el tráfico de la empresa (si se trata de un sitio propio) buscando cualquier actividad inusual relacionada con los TLD '.zip'.
También aconsejan introducir filtros de correo electrónico especiales que contengan los TLD ‘.zip’ y ‘.mov’ en su contenido, para protegerse aún más contra posibles amenazas.
Una sugerencia clásica pero que no pierde vigencia es mantener siempre el software antivirus actualizado para protegerse contra las últimas amenazas.
Y, por último, informarse con regularidad a través de sitios confiables sobre las nuevas formas de ciberataque, para adelantarse a las posibles circunstancias.