### El auge de las webs corporativas falsas: técnicas de los ciberdelincuentes y estrategias de defensa

#### Introducción

La proliferación de páginas web fraudulentas que suplantan la identidad de empresas legítimas representa una de las amenazas más significativas para la ciberseguridad corporativa en 2024. Los grupos de ciberdelincuentes han perfeccionado sus métodos para crear «doppelgängers» digitales —sitios web clonados o muy similares a los originales— con el objetivo de engañar a clientes, proveedores e incluso empleados. Este fenómeno no solo facilita ataques de phishing y fraude financiero, sino que también pone en riesgo la reputación y cumplimiento normativo de las empresas. En este artículo analizamos en profundidad cómo operan estos atacantes, qué técnicas utilizan y qué medidas pueden adoptar las organizaciones para protegerse eficazmente.

#### Contexto del Incidente o Vulnerabilidad

El uso de dominios falsificados ha experimentado un crecimiento exponencial en el último año, impulsado por la facilidad con la que se pueden registrar dominios similares (typosquatting, homograph attacks) y por la disponibilidad de kits de phishing automatizados. Según datos recientes de Kaspersky, en 2023 se detectaron más de 13.000 nuevos dominios sospechosos cada mes imitando marcas reconocidas, con un aumento del 35% respecto al año anterior. La mayoría de estos ataques tienen como objetivo principal robar credenciales, suplantar pagos, distribuir malware o manipular transacciones comerciales.

En el contexto normativo europeo, incidentes de este tipo pueden derivar en sanciones severas bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2, especialmente cuando se produce una filtración de datos personales o una interrupción significativa del servicio.

#### Detalles Técnicos

Los ciberdelincuentes emplean diversas técnicas para crear estos “doppelgängers” digitales:

– **Typosquatting y Homograph Attacks:** Registro de dominios con ligeras variaciones ortográficas o utilizando caracteres Unicode visualmente similares a los del dominio legítimo.
– **Clonado de sitios web:** Uso de herramientas automatizadas para copiar el contenido HTML, imágenes y hojas de estilo del sitio original, creando réplicas casi indistinguibles.
– **Certificados SSL gratuitos:** Implementación de HTTPS mediante servicios como Let’s Encrypt para dotar de apariencia legítima al sitio falso.
– **Integración de kits de phishing:** Frameworks como Evilginx2 o Modlishka permiten interceptar tokens de autenticación y credenciales en tiempo real, sorteando mecanismos MFA.
– **Infraestructura de C2 y automatización:** Plataformas como Cobalt Strike, Metasploit o incluso servicios legítimos de almacenamiento en la nube se emplean para el despliegue masivo y gestión de campañas.

**TTPs MITRE ATT&CK relevantes:**
– T1192 (Spearphishing via Service)
– T1078 (Valid Accounts)
– T1566.002 (Phishing: Spearphishing Link)
– T1583.001 (Acquire Infrastructure: Domains)

**Indicadores de Compromiso (IoC):**
– Dominios recientemente registrados con nombres similares a marcas reconocidas.
– Certificados SSL emitidos para dominios sospechosos.
– Enlaces acortados o redirecciones a sitios clonados.
– Logs de acceso a aplicaciones corporativas desde IPs asociadas a servicios de alojamiento anónimos.

#### Impacto y Riesgos

El impacto de los doppelgängers corporativos trasciende la pérdida económica directa por fraude. Entre los riesgos más significativos destacan:

– **Robo de credenciales y secuestro de cuentas**: Un 62% de los incidentes analizados conllevan acceso ilícito a sistemas internos.
– **Fraude financiero**: Transferencias no autorizadas y manipulación de pagos a través de facturas falsas, con pérdidas medias superiores a 150.000 euros por incidente en pymes.
– **Daño reputacional**: El 74% de las empresas afectadas reportan pérdida de confianza por parte de clientes y socios.
– **Implicaciones legales**: Infracciones de GDPR y NIS2 pueden traducirse en multas de hasta el 4% de la facturación anual.

#### Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque y mitigar el impacto de estas amenazas, se recomienda:

– **Monitorización continua de dominios**: Uso de servicios de vigilancia de marca para detectar registros sospechosos en tiempo real.
– **Implementación de DMARC, DKIM y SPF**: Estos protocolos dificultan la suplantación de correo electrónico corporativo.
– **Concienciación y formación**: Simulacros de phishing adaptados a las nuevas técnicas de ingeniería social.
– **Reforzamiento de MFA**: Priorizar mecanismos que no dependan exclusivamente de tokens interceptables.
– **Respuesta a incidentes**: Protocolos claros para desactivar dominios fraudulentos y comunicar incidentes a clientes y autoridades.

#### Opinión de Expertos

Javier Ramos, CISO de una multinacional tecnológica, apunta: “La detección temprana y la colaboración con proveedores de dominios y servicios cloud son claves. Los atacantes ya no solo buscan credenciales; persiguen manipular toda la cadena de confianza digital”.

Por su parte, Ana García, analista SOC, destaca: “Las campañas actuales combinan phishing sofisticado con explotación de vulnerabilidades en aplicaciones SaaS, lo que exige una vigilancia holística y una inversión continua en threat intelligence”.

#### Implicaciones para Empresas y Usuarios

La presencia de doppelgängers digitales obliga a revisar las estrategias de protección de marca y la seguridad de la cadena de suministro. Las empresas deben reforzar tanto la seguridad perimetral como la formación de empleados y establecer mecanismos rápidos de respuesta ante incidentes. Los usuarios, por su parte, deben extremar la precaución ante enlaces sospechosos y verificar siempre la autenticidad de las comunicaciones.

#### Conclusiones

El fenómeno de los sitios web corporativos falsos continuará en auge, impulsado por la automatización y la economía del cibercrimen. Solo una combinación de tecnología avanzada, monitorización proactiva y formación continua permitirá reducir el riesgo y el impacto económico de estos ataques. La colaboración entre empresas, CERTs y proveedores de servicios digitales será crucial para frenar la expansión de los doppelgängers y fortalecer la confianza en el entorno digital.

(Fuente: www.kaspersky.com)