Typosquatting
Técnica de ciberataque que consiste en registrar dominios web con errores tipográficos deliberados de marcas conocidas para engañar a usuarios que cometen errores al teclear la URL. Se utiliza para phishing, distribución de malware, robo de credenciales y fraude publicitario. El análisis forense de dominios typosquatting es clave para investigar estafas online y suplantación de identidad corporativa.
Typosquatting
Más de 28.000 variaciones engañosas de dominios vinculadas a solo 20 marcas globales ya están registradas por terceros, con algunas marcas alcanzando un 13% de sus variantes potenciales ocupadas (WIPO, enero 2026). La OMPI tramitó 6.200 disputas de nombres de dominio en 2025, la cifra más alta de su historia y un incremento del 68% desde 2020. El 68% de los sitios web de phishing utilizan typosquatting o dominios comprometidos de marcas como vector de engaño (Zscaler ThreatLabz, 2024), y más del 18% de los dominios registrados mediante squatting son directamente maliciosos, utilizados para distribuir malware o ejecutar ataques de phishing.
Definición técnica
El typosquatting (también conocido como “URL hijacking” o “domain squatting”) es una forma de ciberataque que explota los errores tipográficos que los usuarios cometen al escribir direcciones web en el navegador. Los atacantes registran dominios muy similares a los legítimos, esperando que los usuarios no noten la diferencia y proporcionen sus credenciales, datos personales o descarguen malware.
Tipos de variaciones de typosquatting:
| Tipo | Técnica | Ejemplo (original: banco.es) |
|---|---|---|
| Omisión de letra | Eliminar un carácter | banc.es, bano.es |
| Letra adyacente | Tecla contigua en el teclado | bsnco.es, banco.ea |
| Transposición | Intercambiar dos letras | bacno.es, bnaco.es |
| Doble letra | Duplicar un carácter | bannco.es, bancoo.es |
| Homoglifo | Caracteres visualmente idénticos (Unicode) | bаnco.es (la ‘а’ es cirílica) |
| TLD diferente | Cambio de extensión de dominio | banco.com, banco.net, banco.org |
| Guión | Añadir o quitar guiones | ban-co.es, banco-online.es |
| Subdominio | Simular subdominio legítimo | banco.es.login.evil.com |
| Combosquatting | Añadir palabra al dominio | banco-seguro.es, banco-login.es |
Ejemplo real de variaciones:
Dominio legítimo: bankinter.es
──────────────────────────────────
Typosquatting potencial:
├── bankinteer.es (doble letra)
├── bankniter.es (transposición)
├── banklinter.es (letra extra)
├── bankinter.com (TLD diferente)
├── bankinter-login.es (combosquatting)
├── bankinter.es.secure-login.com (subdominio)
└── bаnkinter.es (homoglifo cirílico 'а')Homoglifos: la amenaza invisible
Los ataques con homoglifos (Internationalized Domain Names - IDN) son especialmente peligrosos porque el dominio malicioso puede ser VISUALMENTE IDÉNTICO al legítimo. Por ejemplo, la letra latina ‘a’ (U+0061) y la cirílica ‘а’ (U+0430) son indistinguibles a simple vista. Los navegadores modernos muestran la representación Punycode (xn—…) como defensa, pero no todos los contextos (emails, documentos) la aplican.
Cómo funcionan los ataques de typosquatting
El typosquatting se utiliza como vector para múltiples tipos de ataques:
Objetivos del typosquatting:
| Objetivo | Descripción | Impacto |
|---|---|---|
| Phishing | Réplica exacta del sitio legítimo para robar credenciales | Robo de cuentas bancarias, email |
| Distribución de malware | Descarga automática de software malicioso | Infección del dispositivo |
| Robo de datos | Formularios falsos que recopilan información personal | Fraude de identidad |
| Fraude publicitario | Monetización del tráfico desviado con publicidad | Ingresos ilegítimos para el atacante |
| Competencia desleal | Desviar tráfico hacia competidores | Pérdida de clientes y reputación |
| Espionaje corporativo | Interceptar emails enviados al dominio incorrecto | Filtración de información confidencial |
Ciclo de vida de un dominio typosquatting:
Reconocimiento
El atacante identifica la marca objetivo y genera todas las variaciones posibles del dominio usando herramientas automatizadas (dnstwist, urlcrazy).
Registro masivo
Se registran decenas o cientos de variaciones del dominio, frecuentemente a través de registradores que no verifican identidad, utilizando datos falsos y pago con criptomonedas.
Infraestructura
Se despliega una réplica del sitio web legítimo (clon) en los dominios registrados. Se configura SSL/TLS para mostrar el candado de seguridad y generar confianza.
Captación de tráfico
Los usuarios que cometen errores tipográficos, hacen clic en enlaces de phishing, o siguen URLs de SMS fraudulentos llegan al sitio falso.
Explotación
Las credenciales introducidas se capturan en tiempo real, el malware se descarga automáticamente, o los datos personales se recopilan para su venta en la dark web.
Evasión
Los dominios se rotan frecuentemente, utilizan servicios de privacidad WHOIS, y pueden estar activos solo durante horas o días para dificultar su detección.
Análisis forense de dominios typosquatting
Para un perito informático forense, el análisis de dominios typosquatting es una tarea frecuente en investigaciones de phishing y fraude:
Metodología de investigación:
- WHOIS histórico: Consultar registros WHOIS (actuales e históricos) del dominio sospechoso. Identificar registrante, fecha de creación, registrador, servidores DNS. Herramientas: whois, DomainTools, SecurityTrails
- DNS pasivo: Analizar el historial DNS del dominio para identificar IPs asociadas, cambios de hosting, y correlación con otros dominios del mismo atacante. Herramientas: PassiveTotal, VirusTotal, Farsight DNSDB
- Captura web certificada: Documentar el contenido del sitio typosquatting con capturas certificadas (hash SHA-256) antes de que sea eliminado. Herramientas: Hunchly, HTTrack, wget con verificación
- Análisis de certificado SSL: Examinar el certificado TLS del dominio sospechoso (emisor, fecha, SAN) para determinar si es un certificado legítimo robado o uno emitido por Let’s Encrypt para el dominio fraudulento
- Correlación de infraestructura: Identificar si la IP del servidor aloja otros dominios typosquatting, revelando campañas organizadas
Herramientas de detección y monitorización:
| Herramienta | Tipo | Uso |
|---|---|---|
| dnstwist | Open-source | Genera y comprueba variaciones de un dominio |
| urlcrazy | Open-source | Similar a dnstwist, con más algoritmos de variación |
| DNSMonitor | Comercial | Monitorización continua de nuevos registros similares |
| PhishTank | Comunidad | Base de datos colaborativa de URLs de phishing |
| Certificate Transparency Logs | Público | Detectar certificados SSL emitidos para dominios similares |
| DomainTools | Comercial | WHOIS histórico, reverse WHOIS, correlación de dominios |
Caso práctico: campaña de typosquatting contra banco español
Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.
Contexto: Una entidad bancaria española detectó que 230 clientes reportaron cargos no autorizados en sus tarjetas durante un período de 2 semanas. Todos habían accedido recientemente a la “web del banco” desde un enlace recibido por SMS. Se contrató peritaje forense para investigar la campaña.
Investigación forense:
- Análisis del SMS: Los SMS contenían un enlace a
bancosantarnder.es(transposición de letras: “nder” vs “nder”). El dominio fue registrado 72 horas antes del primer envío desde un registrador offshore con datos falsos - Captura certificada del sitio: El sitio era una réplica pixel-perfect de la web real del banco, incluyendo certificado SSL válido emitido por Let’s Encrypt. La única diferencia era el dominio en la barra de direcciones
- Análisis técnico: El formulario de login enviaba las credenciales en tiempo real a un panel de control del atacante (técnica AiTM), que las reinyectaba en la web real del banco y capturaba el SMS OTP para completar la operación
- Infraestructura del atacante: La IP del servidor (alojada en un VPS ucraniano) también alojaba otros 14 dominios typosquatting de bancos españoles y europeos, revelando una campaña organizada
- Rastreo financiero: Los cargos en las tarjetas se realizaron como compras en comercios online (gift cards de Amazon y criptomonedas), dificultando la reversión
Resultado: El informe pericial documentó los 15 dominios de la campaña, los IOCs del panel C2, y la mecánica completa del fraude. Se presentó denuncia ante la GDT (Grupo de Delitos Telemáticos) de la Guardia Civil y se solicitó judicialmente la desactivación de todos los dominios. Los 230 clientes afectados fueron reembolsados por el banco.
Marco legal en España
Código Penal:
- Art. 248.2 CP: Estafa informática. El uso de dominios typosquatting para obtener credenciales bancarias y realizar cargos fraudulentos constituye estafa
- Art. 249 CP: Pena de estafa en función de la cuantía. Si supera 50.000 EUR, pena de prisión de 1 a 6 años
- Art. 264 CP: Daños informáticos. Si el dominio typosquatting distribuye malware que daña sistemas
- Art. 270 CP: Delitos contra la propiedad intelectual. La clonación de la web y marca del titular puede constituir infracción
Propiedad industrial e intelectual:
- Ley de Marcas 17/2001: Art. 34 protege al titular de la marca contra el uso en el tráfico económico de signos idénticos o similares. El registro de dominios typosquatting de marcas registradas infringe derechos marcarios
- Política UDRP (ICANN): Procedimiento de Resolución Uniforme de Disputas por Nombres de Dominio. Permite al titular de la marca reclamar la transferencia o cancelación del dominio sin necesidad de acudir a los tribunales
- Reglamento (UE) 2019/517: Regula los dominios .eu y permite la revocación de dominios registrados de mala fe
RGPD:
- Art. 5-6 RGPD: Los datos personales obtenidos mediante typosquatting carecen de base jurídica legítima
- Art. 83 RGPD: Sanciones de hasta 20 millones de EUR o 4% del volumen de negocio por tratamiento ilícito de datos
Conceptos relacionados
- Phishing - El typosquatting es un vector fundamental de los ataques de phishing
- Suplantación de identidad digital - El typosquatting suplanta la identidad de marcas y organizaciones
- Credential harvesting - Objetivo principal de muchos dominios typosquatting
- Ingeniería social - El typosquatting explota la confianza del usuario en marcas conocidas
- Brecha de datos - Los datos robados vía typosquatting constituyen una brecha de datos
- Dark web - Las credenciales obtenidas por typosquatting frecuentemente se venden en la dark web
Preguntas frecuentes
¿Cómo puedo proteger mi marca del typosquatting?
Las principales medidas son: registrar preventivamente las variaciones más probables del dominio (typosquatting defensivo), configurar servicios de monitorización de dominios similares (dnstwist, DomainTools), registrar la marca en el Trademark Clearinghouse de ICANN para recibir alertas de nuevos registros, e implementar DMARC/DKIM/SPF para dificultar el email spoofing. Para dominios ya registrados por terceros, se puede iniciar un procedimiento UDRP ante la OMPI.
¿Puedo recuperar un dominio typosquatting de mi marca?
Si. Existen dos vías principales: el procedimiento UDRP de ICANN (más rápido, 45-60 días, coste 1.500-4.000 EUR, aplicable a dominios genéricos .com/.net/.org) y la vía judicial española (más lenta pero con posibilidad de indemnización por daños). En ambos casos, se debe demostrar que el dominio es idéntico o confusamente similar a una marca registrada, que el titular no tiene derecho o interés legítimo, y que fue registrado de mala fe.
¿Cómo puedo verificar si un enlace es typosquatting?
Antes de hacer clic, verifica cuidadosamente el dominio letra por letra. En móvil, mantén pulsado el enlace para previsualizar la URL completa. Busca: caracteres inusuales, letras intercambiadas, extensiones de dominio inesperadas (.com en lugar de .es), guiones o números añadidos. En caso de duda, accede directamente al sitio legítimo escribiendo la URL manualmente o utilizando los marcadores del navegador, nunca siguiendo enlaces de SMS o emails.
¿Qué papel tiene el perito informático en un caso de typosquatting?
El perito informático forense puede: documentar el dominio fraudulento con capturas certificadas antes de su eliminación, analizar la infraestructura técnica del atacante (servidor, certificados SSL, panel C2), identificar la campaña completa mediante correlación de dominios e IPs, elaborar el informe pericial para la denuncia y el procedimiento UDRP/judicial, y cuantificar el impacto económico del fraude para la reclamación de daños.
Variantes avanzadas de squatting de dominios
Más allá del typosquatting clásico, existen variantes más sofisticadas:
Tipos de domain squatting:
| Variante | Descripción | Ejemplo |
|---|---|---|
| Combosquatting | Añadir palabras al dominio legítimo | paypal-security.com, google-login.com |
| Soundsquatting | Dominios que suenan igual pero se escriben diferente | wether.com (weather), flicker.com (Flickr) |
| Bitsquatting | Errores de bit en RAM que alteran DNS queries | googlf.com (bit flip en ‘e’) |
| Doppelganger | Omisión del punto entre subdominio y dominio | wwwgoogle.com, mailgoogle.com |
| Level squatting | Subdominio legítimo en dominio malicioso | google.com.evil.com |
| IDN homograph | Caracteres Unicode visualmente idénticos | аpple.com (con ‘а’ cirílica) |
Impacto del typosquatting en paquetes de software:
Una variante particularmente peligrosa es el typosquatting en repositorios de paquetes de software (PyPI, npm, RubyGems). Los atacantes publican paquetes maliciosos con nombres casi idénticos a paquetes populares (por ejemplo, requets en lugar de requests en Python), esperando que los desarrolladores cometan errores tipográficos al instalar dependencias. Este vector ha afectado a miles de proyectos de software y es especialmente relevante para empresas que desarrollan software propio.
Defensa corporativa contra typosquatting
Programa integral de protección de marca digital:
- Registro defensivo de dominios: Registrar las variaciones más probables del dominio corporativo en los principales TLDs (.es, .com, .net, .org, .eu) y redirigirlas al sitio legítimo
- Monitorización continua: Implementar alertas de Certificate Transparency Logs para detectar certificados SSL emitidos para dominios similares al corporativo
- DMARC estricto: Configurar SPF, DKIM y DMARC en modo
rejectpara prevenir el spoofing de email desde dominios similares - Formación a empleados: Enseñar a los empleados a verificar URLs antes de introducir credenciales y a reportar dominios sospechosos
- Respuesta rápida: Establecer un procedimiento para la remoción rápida de dominios typosquatting mediante UDRP, notificaciones de abuso al registrador, y denuncia ante las fuerzas de seguridad
Coste del registro defensivo:
El registro defensivo de 50-100 variaciones de un dominio puede costar entre 500 y 2.000 EUR anuales (dependiendo de los TLDs). Este coste es insignificante comparado con el impacto potencial de un ataque de phishing exitoso basado en typosquatting, que puede suponer pérdidas de cientos de miles de euros y daño reputacional incalculable.
Estadísticas de impacto del typosquatting
Datos clave del impacto global:
- 28.000+ dominios typosquatting registrados solo para las 20 marcas más grandes del mundo (enero 2026)
- 6.200 disputas UDRP tramitadas por la OMPI en 2025, récord histórico (+68% desde 2020)
- 68% de los sitios de phishing utilizan typosquatting como vector principal (Zscaler, 2024)
- 18%+ de dominios squatting son directamente maliciosos (distribuyen malware o phishing)
- 4,8 millones de dólares es el coste medio de un ataque de phishing para una organización (IBM, 2024)
- 1.003.924 ataques de phishing registrados en Q1 2025, nuevo récord trimestral (APWG)
Sectores más afectados en España:
| Sector | Tipo de typosquatting más frecuente | Objetivo |
|---|---|---|
| Banca | Dominios que replican webs bancarias | Robo de credenciales de banca online |
| Administración pública | Suplantación de AEAT, Seguridad Social | Phishing fiscal, robo de datos personales |
| Telecomunicaciones | Portales falsos de operadoras | Obtener datos para SIM swapping |
| Ecommerce | Tiendas falsas con nombres similares | Fraude en pagos, datos de tarjeta |
| Salud | Farmacias y servicios sanitarios online | Datos de salud, medicamentos falsos |
Las campañas de typosquatting que suplantan a la AEAT (Agencia Tributaria) son especialmente frecuentes durante los períodos de declaración de la renta (abril-junio) y en las campañas de phishing que simulan notificaciones de DEHU (Dirección Electrónica Habilitada Única).
Procedimiento UDRP para recuperar un dominio
El procedimiento UDRP (Uniform Domain-Name Dispute-Resolution Policy) es la vía más eficiente para recuperar dominios typosquatting:
Requisitos acumulativos (deben cumplirse los tres):
- El dominio es idéntico o confusamente similar a una marca registrada
- El titular del dominio no tiene derechos ni intereses legítimos sobre el dominio
- El dominio fue registrado y se utiliza de mala fe
Proceso paso a paso:
| Fase | Descripción | Plazo |
|---|---|---|
| Presentación de la demanda | Ante un proveedor acreditado (WIPO, NAF, ADR.eu) | - |
| Notificación al demandado | El proveedor notifica al titular del dominio | 3-5 días |
| Respuesta del demandado | El titular puede presentar alegaciones | 20 días |
| Decisión del panel | Un panel de 1 o 3 expertos emite resolución | 14 días |
| Ejecución | El registrador ejecuta la decisión (transferencia o cancelación) | 10 días |
Coste: 1.500 EUR (panel de 1 experto) a 4.000 EUR (panel de 3 expertos) ante la OMPI.
Referencias y fuentes
WIPO - “Cybersquatting dispute filings hit record high: 6,200 in 2025 (+68% since 2020)”, World Intellectual Property Organization, enero 2026. wipo.int
Zscaler ThreatLabz - “Typosquatting & Brand Impersonation Trends and Tactics 2024”. zscaler.com
SecurityBrief - “Study finds 28,000 fake domains mimic top websites”, enero 2026. securitybrief.com.au
Forescout - “From URLs to Malware: How Threat Actors Abuse Domain Security in 2025”. forescout.com
ICANN - “Uniform Domain-Name Dispute-Resolution Policy (UDRP)”. icann.org
Ley de Marcas 17/2001, Art. 34 sobre protección de signos distintivos. boe.es
Código Penal - Arts. 248, 249, 264, 270. boe.es
Darktrace - “Vigilance in Action: Monitoring Typosquatting Domains”. darktrace.com
dnstwist - Herramienta open-source de detección de dominios typosquatting. github.com/elceef/dnstwist
INCIBE - “Avisos de seguridad: suplantación de dominios y phishing”, Instituto Nacional de Ciberseguridad. incibe.es
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita