¿Cómo evitar el robo de dominios? Mejores prácticas para asegurar tus dominios

¿Es posible robar un dominio de internet? Te sorprenderá, pero sí, lo es. Este delito no es común, pero sucede. Por ejemplo, en 2015, una empresa que vendía gafas fue víctima de tal práctica. En julio de 2021, un cibercriminal utilizó un método astuto y robó un dominio utilizando el mercado secundario de dominios. Hemos descrito los ejemplos en detalle en este artículo y queremos que sirvan como advertencia para los suscriptores de dominios.

¿Tienes curiosidad sobre los métodos utilizados por los cibercriminales para robar dominios y cómo puedes protegerte contra ellos? Lee sobre ello a continuación.

¿Cómo pueden los cibercriminales robar un dominio de internet?

Un dominio de internet puede ser robado de dos maneras:

• Cambiando la delegación del dominio, es decir, redirigiéndolo a servidores DNS externos. Para hacer esto, puede ser suficiente conocer las credenciales de inicio de sesión del panel de administración del dominio. Al cambiar la delegación, puedes interceptar el tráfico de correo electrónico y redirigir el dominio a un sitio web falso alojado en otro lugar.
• Transfiriendo el dominio, es decir, moviéndolo a otro registrador y, en consecuencia, apoderándote completamente del dominio.

En el caso de la mayoría de los registradores, para transferir un dominio, necesitarás:

• Credenciales de inicio de sesión del panel de administración del dominio, es decir, la dirección de correo electrónico o el nombre de cuenta y la contraseña correspondiente.
• Código de Authinfo – una cadena de caracteres que te permite transferir un dominio, es decir, moverlo a otro registrador. Por lo general, el código se puede obtener después de una autorización adicional, por ejemplo, después de completar una solicitud para un código. Sin embargo, hay excepciones para dominios que no tienen códigos de authinfo, como la extensión británica ".uk".
• Detalles de inicio de sesión del buzón del suscriptor del dominio, porque aquí es donde generalmente se envía el código de authinfo. Sin embargo, el código de authinfo también puede estar disponible directamente en el panel de administración del dominio.

En 2015, el dominio shadesdaddy.com, que vende gafas de lujo, fue víctima de tal robo. El dominio fue robado por cibercriminales chinos y redirigido a otro sitio web falso. Finalmente, el dominio fue recuperado, pero no antes de que los ladrones lograran vender cientos de productos falsificados, lo que tuvo un impacto negativo en la imagen de la empresa.

Cómo proteger tu dominio del robo – consejos prácticos

1. Presta atención al nombre de dominio del sitio web al que estás iniciando sesión

Mira la captura de pantalla a continuación. ¿Ves algo perturbador?

Fuente: https://isc.sans.edu/diary/Secure+Phishing%3A+Netflix+Phishing+Goes+TLS/23786

Es la URL falsa: “https://www.groupnetflixu.com/Login/” en lugar de “https://www.netflix.com/Login/”.

El estafador agregó la palabra “group” delante del nombre original y la letra “u” al final. Desplegó un sitio web falso similar al formulario de inicio de sesión de Netflix en esta dirección.

Este es un buen ejemplo de phishing. Este tipo de estafa consiste en suplantar un sitio web existente para obtener información confidencial y se basa en técnicas de ingeniería social. El objetivo es incitar a los usuarios a tomar decisiones incorrectas, manipularlos y convencerlos de realizar acciones que resulten en fraude.

Las posibilidades de que un ataque tenga éxito se ven influenciadas, entre otros, por la calidad del portal falso, la elección de un nombre de dominio similar y el método de alentar a los visitantes a tomar acciones adicionales, por ejemplo, a través de un correo electrónico correctamente titulado con contenido bien pensado, gráficos de calidad y otros “cebos” efectivos. En el caso del fraude de Netflix, el estafador utilizó un nombre que era muy similar al genuino.

Un cibercriminal podría enviar un mensaje falso a los posibles suscriptores de LetsDomains.com, por ejemplo, sobre una nueva oferta relacionada con nuestros servicios, desde un dominio diferente. El contenido podría incluir enlaces a un dominio falso. El nombre del remitente podría ser diferente al original, pero al mismo tiempo parecer lo suficientemente similar como para ser confundido con el genuino.

Algunas personas pueden no notar que el enlace lleva a un portal falso. Por supuesto, el nombre del remitente también sería diferente al original, pero los alfabetos alrededor del mundo son tan complejos que es posible registrar un nombre análogo que se vea similar.

Las formas populares de suplantar dominios incluyen agregar una o más letras que se parecen a la dirección, como ḁ en lugar de a, que se ven muy parecidas, pero provienen de diferentes alfabetos.

El método que consiste en usar una letra que se parece fue, por ejemplo, utilizado por estafadores que registraron el dominio lọt.com (Líneas Aéreas Polacas) y publicaron un portal falso de venta de boletos de avión allí. La letra del medio es “o” con un punto en la parte inferior, que es un carácter latino en el idioma igbo.

Otros métodos consisten en duplicar letras una al lado de la otra o agregar palabras como entrega, envíos, envíos de mercado, 24, compras, etc. Uno de los portales que los estafadores a menudo suplantan es OLX (un popular sitio web de clasificados en Europa). Puedes leer sobre métodos deshonestos que hicieron que muchas personas perdieran su dinero en sus blogs. Por lo tanto, siempre mira cuidadosamente la URL del sitio web, ya que puede salvarte de una posible estafa.

Fuente: https://blog.olx.pl/2020/06/18/uwaga-na-phishing/

2. Evita iniciar sesión en redes Wi-Fi abiertas y usar cuentas en dispositivos públicos

Quizás hayas iniciado sesión en una red Wi-Fi abierta, es decir, una red donde no necesitas una contraseña para iniciar sesión. Se pueden encontrar, por ejemplo, en aeropuertos o centros comerciales. Desaconsejamos tales intentos de conexión, en particular, iniciar sesión en tus cuentas privadas, incluido el panel de administración del dominio. Ten en cuenta que un punto de acceso dado puede haber sido creado específicamente con el propósito de robar datos.

Al crear una red Wi-Fi, puedes nombrarla fácilmente utilizando el nombre de un aeropuerto o un centro comercial. Si inicias sesión en una red creada por un cibercriminal, podrán ver la información enviada entre tu dispositivo y los sitios web no encriptados que visitas, por ejemplo, sitios web no protegidos con el protocolo HTTPS a través de un certificado SSL. Esto se debe a que de esta manera los ladrones se convierten en intermediarios entre la red y el dispositivo.

Una regla similar se aplica a iniciar sesión en cuentas privadas en dispositivos públicos y desconocidos, por ejemplo, en una biblioteca, café de internet o en un punto de fotocopiado. Dichas instalaciones pueden usar redes Wi-Fi de confianza, pero pueden no tener control total sobre las personas que las visitan. Es suficiente que un cibercriminal infecte un dispositivo con malware indetectable, como un keylogger, que registrará los caracteres tecleados por los usuarios del dispositivo.

3. Usa contraseñas diferentes y fuertes

Usar la misma contraseña en todas partes es sin duda una solución conveniente, pero está asociada con un peligro considerable. Si tus detalles de inicio de sesión se filtran de un sitio web, el cibercriminal probablemente intentará usarlos en otros lugares. Por lo tanto, existe el riesgo de que el ladrón inicie sesión en las otras plataformas que usas mediante prueba y error. ¿Parece poco realista? Quizás te convenzas con un artículo publicado por TroyHunt.com (un blog enfocado en la seguridad) que describe una filtración de 21 millones de contraseñas de 2000 plataformas.

Si te preocupa no poder recordar todas estas contraseñas, puedes usar software dedicado, como Password Safe, KeyPass y LastPass, para recopilar y almacenar tus credenciales de forma segura. Los programas están disponibles tanto para computadoras como para teléfonos inteligentes.

Si te preguntas si tus datos podrían haber sido filtrados alguna vez y si existe el riesgo de que una persona no autorizada conozca tu contraseña, hay una manera de verificarlo – visita haveibeenpwned.com. El sitio web te permitirá verificar si el correo electrónico o número de teléfono que estás utilizando no ha sido interceptado por ladrones.

Fuente: haveibeenpwned.com

4. Habilita la autenticación de dos factores

La autenticación de dos factores (2FA) es una forma de proteger tu cuenta, por ejemplo, el panel de administración del dominio, de personas que pueden haber obtenido tu ID de usuario y contraseña de manera no autorizada. La autenticación de dos factores consiste en una etapa de verificación adicional, es decir, ingresar un código especial, que se envía, por ejemplo, a un dispositivo externo – como un teléfono inteligente – o a una dirección de correo electrónico previamente asignada.

En LetsDomains.com, ofrecemos verificación en dos pasos a través del mecanismo externo Google Authenticator. El proceso consiste en generar un código con un corto período de validez en la aplicación del teléfono inteligente, que debe ser ingresado en la ventana de inicio de sesión del panel de administración. Las instrucciones sobre cómo configurar Google Authenticator para usar con una cuenta de LetsDomains.com se pueden encontrar en el panel administrativo.

5. Asegura el dominio con Registry Lock o Registrar Lock

El servicio Registry Lock asegura los dominios contra el acceso no autorizado por parte de terceros y modificaciones accidentales. Registry Lock te ayudará a prevenir que posibles atacantes, entre otros, cambien el suscriptor, transfieran el dominio a otro registrador o lo eliminen. Las medidas de seguridad se aplican a nivel del registro (la unidad que gestiona un dominio dado), gracias a lo cual obtienes una protección efectiva contra cambios desfavorables que se apliquen a tu dominio. En LetsDomains.com, el servicio está disponible únicamente para dominios .pl y .eu. Puede desactivarse en cualquier momento, pero en el caso de un dominio .pl, necesitarás activarlo nuevamente para usarlo. En el caso de un dominio .eu, puedes eliminar temporalmente el bloqueo. En caso de interés en activar el Registry Lock, por favor contáctanos.

Una solución similar es utilizar el servicio Registrar Lock. También es una opción a nivel de registro utilizada para prevenir modificaciones no autorizadas o accidentales del dominio. Registrar Lock es gratuito y funciona para dominios globales y nuevos.

Vale la pena señalar que, además, independientemente del registrador, el bloqueo de transferencia de tales dominios siempre se impone, independientemente del servicio Registrar Lock, durante 60 días desde el momento de registro, la última transferencia o asignación, y no es posible desactivarlo antes.

Para verificar si el dominio tiene habilitado el Registrar-Lock, puedes usar la base de datos WHOIS, ingresar el nombre del dominio y buscar la entrada "Domain Status: clientTransferProhibited".

6. Verifica tu registrador de dominio y ve qué condiciones de seguridad ofrece

No registres tu nombre de dominio con el primer registrador que encuentres. En su lugar, lee las opiniones sobre registradores en línea y verifica qué condiciones de seguridad proporcionan.

Los registradores de dominios deberían poder ofrecer más que solo registros, renovaciones y transferencias. Busca un registrador que ofrezca servicios complementarios como certificados SSL y alojamiento. Un buen registrador también permitirá muchos métodos de contacto.

Verifica qué formalidades se requieren para transferir el dominio. Un registrador de confianza debería requerir absolutamente autorización adicional al descargar el código de authinfo. En LetsDomains.com, puedes obtener el código de authinfo en el panel administrativo. Un compromiso razonable entre seguridad y comodidad es crucial aquí. Los códigos disponibles directamente en el panel son convenientes, pero descalifican al registrador como proveedor de servicios seguro. Por otro lado, el procedimiento para emitir el código de authinfo no debería estar asociado con formalidades demasiado complicadas (que dificulten la transferencia del dominio), como la exigencia de realizar correspondencia a través de correo tradicional.

7. Nunca compartas tus credenciales de inicio de sesión y mantenlas privadas

Protege los detalles de inicio de sesión de tu administración de dominio de la misma manera que proteges tus credenciales de inicio de sesión bancarias. Nunca compartas tus detalles de inicio de sesión con nadie. Incluso si estás completamente protegido contra posibles ataques externos, no puedes estar seguro de que la otra persona haya tomado precauciones similares.

8. Mantén tus datos de contacto actualizados

Asegúrate siempre de haber actualizado tus datos de contacto en el sistema, por ejemplo, cuando hayas cambiado de dirección, mudado tu oficina o reasignado la administración de dominios en tu empresa a otra persona. Es especialmente importante actualizar tu número de teléfono y dirección de correo electrónico, ya que estos datos pueden ser utilizados por el registrador para intentar contactarte si detectan actividad sospechosa relacionada con tu cuenta.

¿Qué hacer cuando una persona no autorizada obtiene acceso al panel de administración del dominio y, por ejemplo, cambia la configuración de DNS?

Si notas que una persona no autorizada ha obtenido acceso a tu panel de dominios, por ejemplo, después de verificar la última vez (no autorizada) que iniciaste sesión en la cuenta, informa inmediatamente a tu registrador. Ellos deberían saber qué acción tomar en tales momentos.

Cambia la contraseña de tu cuenta de dominio, el correo electrónico vinculado al panel de dominio y, si es necesario, la cuenta de alojamiento.

En LetsDomains.com, hemos desarrollado procedimientos de seguridad que minimizan las consecuencias de la intrusión en tu cuenta, pero debes recordar notificarnos sobre todo el incidente lo antes posible.

¿Qué hacer en caso de una transferencia no autorizada de un dominio de internet?

Si tu dominio ha desaparecido del panel de tu registrador, no significa necesariamente que haya sido robado. Tal vez ha expirado debido a un descuido o falta de pago, tal vez esté en otra cuenta con el mismo registrador, o ha sido suspendido por alguna razón. Contactar rápidamente al servicio de atención al cliente de tu registrador seguramente será útil.

Vale la pena verificar la información sobre el dominio en la base de datos WHOIS por tu cuenta. El alcance de los datos proporcionados depende de la política de un registro dado y del tipo de suscriptor. Más a menudo, los datos del suscriptor no estarán disponibles públicamente. Sin embargo, podrás verificar la fecha de expiración del dominio y quién lo posee. ¿Ha expirado simplemente el dominio? Si esto no sucedió, y ves un registrador desconocido en la base de datos WHOIS, contacta a tu registrador lo antes posible.

Deberías averiguar qué pasó con el dominio, si y cuándo fue transferido, y cómo fue autorizado. Esta información será extremadamente valiosa para el éxito de tus intentos de recuperación del dominio. Si tus sospechas sobre una transferencia no autorizada se confirman, también contacta al nuevo registrador e infórmales sobre este hecho. Deberías intentar prevenir más actividades en un dominio dado, para poder aclarar las dudas. En esta etapa, también vale la pena utilizar asistencia legal.

Resumen – ¿cómo evitar el robo de dominios?

El robo de dominios es una práctica que puede sucederle a cualquiera que no siga las precauciones de seguridad básicas. Lo más importante es evitar iniciar sesión en tus cuentas a través de dispositivos públicos disponibles para todos. No inicies sesión en redes Wi-Fi abiertas, ya que pueden haber sido configuradas específicamente para interceptar datos sensibles. Nunca envíes tus detalles de inicio de sesión a terceros.

A veces, a pesar de seguir las precauciones de seguridad básicas, puedes ser víctima de fraudes fuera de tu control, es decir, una filtración de datos en una de las plataformas que estás utilizando. Por lo tanto, es una buena idea usar una contraseña diferente para cada cuenta. Además, recomendamos encarecidamente habilitar la autorización de dos pasos, si la plataforma que estás utilizando ofrece tal opción.

Recuerda actualizar los detalles de tu cuenta, ya que los utilizaremos para contactarte si notamos alguna actividad sospechosa relacionada con tu dominio.

Si notas que una persona no autorizada ha violado tu cuenta de dominio, informa a tu registrador de inmediato. Si tu dominio ha sido robado, pídeles ayuda e informa la situación al registro. También puedes considerar recuperar tu dominio a través de los tribunales.

FAQ – robo de dominios y protección

1. ¿Qué es el robo de dominios (secuestración de dominios)?

El robo de dominios, también conocido como secuestración de dominios, es una toma no autorizada de un nombre de dominio, generalmente cambiando la configuración de DNS o transfiriendo el dominio a otro registrador.

2. ¿Cómo puedo proteger mi dominio del robo?

Puedes asegurar tu dominio utilizando contraseñas fuertes y únicas, habilitando la autenticación de dos factores, evitando Wi-Fi público y aplicando Registry Lock o Registrar Lock.

3. ¿Qué debo hacer si mi dominio es robado?

Contacta a tu registrador de inmediato, verifica los datos de WHOIS para confirmar la transferencia y solicita intervención. Si es necesario, busca asistencia legal para recuperar el dominio robado.

4. ¿Qué es Registry Lock?

Registry Lock es un servicio de seguridad avanzado que previene transferencias no autorizadas de dominios, eliminaciones o cambios de propiedad a nivel de registro.

5. ¿Es realmente necesaria la autenticación de dos factores para los dominios?

Sí. 2FA agrega una capa adicional de protección, lo que hace que sea mucho más difícil para los atacantes iniciar sesión en tu cuenta de registrador, incluso si obtienen tu contraseña.