A medida que más organizaciones adoptan DMARC e implementan protecciones basadas en dominios, un nuevo vector de amenaza cobra protagonismo: la suplantación de marca.
Los atacantes registran dominios que se asemejan mucho a marcas legítimas y los utilizan para alojar sitios web de phishing, enviar correos electrónicos engañosos y engañar a los usuarios con páginas de inicio de sesión clonadas y recursos visuales familiares.
En 2024, se identificaron más de 30.000 dominios similares que suplantaban la identidad de importantes marcas globales, y un tercio de ellos se confirmó como activamente maliciosos. Estas campañas rara vez son técnicamente sofisticadas. En cambio, se basan en los matices de la confianza: un nombre que resulta familiar, un logotipo en el lugar correcto o un correo electrónico enviado desde un dominio prácticamente indistinguible del real.
Si bien las tácticas son sencillas, defenderse no lo es. La mayoría de las organizaciones aún carecen de la visibilidad y el contexto necesarios para detectar y responder a estas amenazas con confianza.
La escala y la velocidad del riesgo de suplantación de identidad
Registrar un dominio similar es rápido y económico. Los atacantes suelen comprar dominios que difieren de los legítimos por un solo carácter, un guion o un cambio en el dominio de nivel superior (TLD). Estas sutiles variaciones son difíciles de detectar, especialmente en dispositivos móviles o cuando los usuarios están distraídos.
| Dominio similar | Táctica utilizada |
|---|---|
| acmebank.com | Homógrafo (cirílico ‘a’) |
| acme-bank.com | Separación |
| acmebanc.com | Sustitución de personajes |
| acmebank.co | cambio de TLD |
| inicio de sesión en acmebank.com | Añadir palabra |
En un ejemplo reciente, los atacantes crearon una imitación convincente de una conocida plataforma logística y la utilizaron para hacerse pasar por agentes de carga y desviar envíos reales. El fraude resultante provocó interrupciones operativas y pérdidas sustanciales, con estimaciones del sector para ataques comparables que oscilan entre 50.000 y más de 200.000 dólares por incidente. Si bien registrar el dominio fue sencillo, las consecuencias operativas y financieras fueron todo lo contrario.
Si bien cualquier dominio puede parecer de bajo riesgo por sí solo, el verdadero desafío reside en la escala. Estos dominios suelen ser de corta duración, rotar con frecuencia y ser difíciles de rastrear.
Para los defensores, el gran volumen y la variabilidad de las imitaciones hacen que su investigación requiera muchos recursos. Monitorear la internet abierta requiere mucho tiempo y, a menudo, no es concluyente, especialmente cuando se debe analizar cada dominio para evaluar si representa un riesgo real.
Del ruido a la señal: Cómo hacer que los datos de suplantación de marca sean procesables
El desafío para los equipos de seguridad no es la ausencia de datos, sino la abrumadora presencia de señales sin procesar y sin verificar. Miles de dominios se registran diariamente y podrían usarse en campañas de suplantación de identidad. Algunos son inofensivos, muchos no, pero distinguirlos no es nada sencillo.
Herramientas como los feeds de amenazas y las alertas de registradores detectan riesgos potenciales, pero a menudo carecen del contexto necesario para tomar decisiones informadas. Las coincidencias de palabras clave y los patrones de registro por sí solos no revelan si un dominio está activo, es malicioso o está dirigido a una organización específica.
Como resultado, los equipos se enfrentan a un cuello de botella operativo. No solo gestionan alertas, sino que también resuelven la ambigüedad, sin la estructura suficiente para priorizar lo importante.
Lo que se necesita es una forma de convertir los datos de dominio sin procesar en señales claras y priorizadas que se integren con la forma en que los equipos de seguridad ya evalúan, clasifican y responden.
Ampliar la cobertura más allá del dominio que usted posee
Cisco lleva mucho tiempo ayudando a las organizaciones a prevenir la suplantación de dominios exactos mediante DMARC, disponible a través de Red Sift OnDMARC . Sin embargo, a medida que los atacantes van más allá del dominio que usted posee, Cisco ha ampliado su oferta de protección de dominios para incluir Red Sift Brand Trust , una aplicación de protección de dominios y marcas diseñada para monitorear y responder a amenazas de dominios similares a nivel global.
Red Sift Brand Trust aporta visibilidad y respuesta estructuradas a un espacio tradicionalmente ruidoso y difícil de interpretar. Sus principales capacidades incluyen:
- Detección de similitudes a escala de Internet mediante análisis visual, fonético y estructural para descubrir dominios diseñados para engañar
- Detección de activos impulsada por IA para identificar activos de marca que se utilizan en la infraestructura de phishing
- Inteligencia de infraestructura que revela indicadores de riesgo y propiedad de IP
- El primer agente de IA autónomo de su tipo que actúa como un analista virtual , imitando la revisión humana para clasificar dominios similares y destacar candidatos a eliminación con rapidez y confianza; lea cómo funciona
- Flujos de trabajo de escalamiento integrados que permiten a los equipos de seguridad eliminar sitios maliciosos rápidamente
Con Red Sift OnDMARC y Brand Trust ahora disponibles a través del programa SolutionsPlus de Cisco, los equipos de seguridad pueden adoptar un enfoque unificado y escalable para la protección de dominios y marcas. Esto marca un cambio importante en un panorama de amenazas que involucra cada vez más infraestructuras fuera del control de la organización, donde la propia marca suele ser el punto de entrada.
Para obtener más información sobre la protección de dominio, visite la página de asociación de Cisco con Redsift . CISCO Blog. G. B. Traducido al español
