Los ataques de phishing aumentaron casi un 40 % en el año que finalizó en agosto de 2024, y gran parte de ese crecimiento se concentró en una pequeña cantidad de nuevos dominios genéricos de nivel superior (gTLD), como .comercio, .alto, .xyz – que atraen a los estafadores con precios bajísimos y sin requisitos de registro significativos, según un nuevo estudio. Mientras tanto, la entidad sin fines de lucro que supervisa la industria de los nombres de dominio está avanzando con planes para introducir una gran cantidad de nuevos gTLD.
A estudiar sobre datos de phishing publicados por Consultoría entre islas revela que los nuevos gTLD introducidos en los últimos años representan solo el 11% del mercado de nuevos dominios, pero representan aproximadamente el 37% de los dominios de delitos cibernéticos reportados entre septiembre de 2023 y agosto de 2024.
Interisle obtiene datos sobre áreas de delitos cibernéticos de organizaciones antispam, incluidas Grupo de trabajo antiphishing (APWG), el Coalición contra los correos electrónicos comerciales no solicitados (CAUCE), y el Grupo de trabajo sobre mensajería, malware y abuso de dispositivos móviles (M3AAWG).
El estudio revela que aunque .com Y .neto Estos dominios representaron aproximadamente la mitad de todos los dominios registrados el año pasado (más que todos los demás TLD combinados), pero representaron poco más del 40% de todos los dominios de delitos cibernéticos. Interisle afirma que una proporción casi igual (37%) de los dominios de delitos cibernéticos se registraron a través de nuevos gTLD.
Los spammers y estafadores están acudiendo en masa a los nuevos dominios gTLD porque estos registradores tienden a ofrecer registros baratos o gratuitos con pocos o ningún requisito de verificación de identidad o cuenta. Por ejemplo, entre los gTLD con las puntuaciones de dominio más altas en materia de delitos cibernéticos en el estudio de este año, nueve ofrecieron tarifas de registro inferiores a 1 dólar y casi dos docenas ofrecieron tarifas inferiores a 2 dólares. A modo de comparación, el precio más barato identificado para un dominio .com fue de 5,91 dólares.
Actualmente, existen aproximadamente 2.500 registradores autorizados a vender dominios a través del Corporación de Internet para la asignación de nombres y números (ICANN), la organización sin fines de lucro con sede en California que supervisa la industria de dominios.
Increíblemente, a pesar de años de informes que muestran que los phishers abusan masivamente de los nuevos gTLD, la ICANN está avanzando con un plan para introducir aún más. La propuesta de la ICANN visiones de la próxima ronda aceptar solicitudes para nuevos gTLD en 2026.
Juan Levin Es autor del libro “El Internet para Dummies” y presidente del CAUCE. Levine dijo que agregar nuevos TLD sin una política de registro mucho más estricta probablemente ampliaría aún más un campo en blanco que ya es abundante para los ciberdelincuentes.
«El problema es que ICANN no puede decidir si es el regulador neutral y sin fines de lucro o simplemente la asociación comercial de especuladores de dominios», dijo Levine a KrebsOnSecurity. «Pero actúan mucho más como estos últimos».
Levine dijo que la gran mayoría de los nuevos gTLD tienen unos pocos miles de dominios, muy lejos de la cantidad de registros que necesitarían simplemente para cubrir los costos iniciales de operar un nuevo gTLD (~$180,000 a $300,000). Los registradores de nuevos gTLD pueden atraer clientes rápidamente vendiendo dominios a precios bajos a clientes que compran dominios al por mayor, pero esta tiende a ser una estrategia perdedora.
«Vender a delincuentes y spammers resulta ser un mal negocio», afirmó Levine. “Puedes cobrar lo que quieras durante el primer año, pero debes cobrar el precio de lista por las renovaciones de dominio. Y los delincuentes y los spammers nunca renuevan. Entonces, si parece que la economía no tiene sentido, es porque no tiene sentido”.
En prácticamente todos los informes de spam anteriores, Interisle descubrió que las principales marcas a las que se hacía referencia en los ataques de phishing eran las empresas de tecnología más grandes, incluidas Apple, Facebook, Google y PayPal. Pero el año pasado, Interisle encontró la Servicio Postal de EE. UU. fue, con diferencia, la entidad más víctima de phishing, con más de cuatro veces más dominios de phishing que el segundo objetivo más frecuente (Apple).
Es probable que al menos parte de este aumento se deba a que un prolífico ciberdelincuente utiliza el apodo Chenlunque vende kits de phishing dirigidos a servicios postales nacionales en los Estados Unidos y al menos una docena de otros países.
Interisle dice que un número creciente de phishers evitan por completo los registros de dominios y, en cambio, se aprovechan de proveedores de subdominios como blogspot.com, paginas.devY weebly.com. El informe señala que los ataques cibernéticos alojados en los servicios del proveedor del subdominio pueden ser difíciles de mitigar porque solo el proveedor del subdominio puede desactivar cuentas maliciosas o eliminar páginas web maliciosas.
«Cualquier acción ascendente, como bloquear el dominio de segundo nivel, afectaría a toda la base de clientes del proveedor», observa el informe.
Interisle rastreó más de 1,18 millones de casos de subdominios utilizados para phishing durante el año pasado (un aumento del 114%) y descubrió que más de la mitad de ellos eran subdominios: dominios de blogspot.com y otros servicios operados por Google.
“Muchos de estos servicios permiten la creación de un gran número de cuentas al mismo tiempo, lo que es muy aprovechado por los delincuentes”, concluye el informe. «Los proveedores de subdominios deben limitar la cantidad de subdominios (cuentas de usuario) que un cliente puede crear al mismo tiempo y suspender los registros de cuentas automatizados de gran volumen, particularmente cuando utilizan servicios gratuitos».