Google está ofreciendo un nuevo dominio web .zip para usuarios que deseen mostrar que son “rápidos, eficientes y listos para avanzar”. En teoría, suena bastante bien, pero debido a las similitudes entre este dominio y un popular formato de archivo comprimido, existen preocupaciones de que esto pueda convertirse en una de las formas más fáciles de engañar a los usuarios de Internet para que descarguen archivos sospechosos.

Se puede entender por qué ha habido preocupaciones sobre el nuevo dominio .zip de nivel superior (TLD, por sus siglas en inglés). Supongamos que estás buscando descargar el software CPU-Z, esperarías ir al sitio web de CPUID en la siguiente URL: www.cpuid.com/downloads/cpu-z/cpu-z.2.05-en.zip.

Lo que permitirá el nuevo TLD .zip de Google son enlaces que se ven muy similares, pero que son duplicados increíblemente peligrosos. Por ejemplo, y aunque este enlace no lleve a ninguna parte, no es necesario intentarlo: www.cpuid.com/downloads/cpu-z∕@cpu-z.2.05-en.zip.

La mayoría de los usuarios con experiencia en navegación web probablemente notarían el carácter “@” sospechoso y pensarían dos veces antes de hacer clic en esa URL. Sin embargo, es posible que pasen por alto el carácter Unicode U+2215, que intenta hacerse pasar por una barra diagonal. Esta táctica es astuta.

Según señala el investigador de seguridad bobbyr en su publicación en Medium, la mayoría de los navegadores modernos ignorarán la información anterior al “@” y solo prestarán atención al nombre de host que le sigue. Esto significa que si se ingresa https://[email protected], la mayoría de los navegadores redirigirán al usuario a bing.com. Por otro lado, si se agregan barras diagonales en la URL antes del “@”, sucede lo contrario: https://google.com/[email protected] llevará al usuario a Google.

Aquí es donde entran en juego los caracteres Unicode U+2215 y U+2044, los cuales se asemejan mucho a las barras diagonales, pero no lo son. Además, estos caracteres son compatibles en los nombres de host. Esto permite la creación de URLs falsas que parecen legítimas y pueden llevar a los usuarios a enlaces .zip sospechosos que pretenden ser descargas genuinas. Los dominios fraudulentos pueden alojar archivos .zip reales que contienen cualquier tipo de contenido, incluso malware.

Esta táctica puede resultar confusa, pero presenta un problema potencial, especialmente para aquellos que no están familiarizados con Internet o que tienen prisa.

Sin embargo, no todos están de acuerdo en que esto represente una nueva forma de ataque de phishing. Troy Hunt, otro empleado de Microsoft y creador de HaveIBeenPwned, sugiere que no hay nada nuevo aquí de lo que preocuparse.

Hunt vuelve al argumento de que, en última instancia, los humanos son “malos con las URL y los TLD no importan”. Sugiere que la mayoría de las personas no tienen idea de cuándo se les presenta una dirección engañosa a propósito, ya sea que el archivo se vea como un archivo .zip o no.

“La mayoría de las personas no tienen idea cuando una URL que parece plausible está completamente equivocada”, dice Hunt.

Sin embargo, el problema no radica tanto en los investigadores de seguridad, quienes probablemente lo detectarán sin problemas. El verdadero problema son los usuarios de Internet menos familiarizados con la tecnología. El término “.zip” se ha convertido en sinónimo de un formato de archivo, por lo que resulta innecesariamente confuso utilizarlo también como dominio web.

Las recomendaciones para ayudar a los usuarios a evitar ataques de phishing con dominios “.zip” presentadas en el artículo de Medium son totalmente válidas. Es importante estar alerta ante la presencia de caracteres falsos en las URL, dominios que contengan el símbolo “@” seguido de archivos “.zip” y tener precaución al descargar archivos enviados por remitentes desconocidos.

De hecho, esta última precaución es el mejor consejo para evitar caer en ataques de phishing. Las estafas que pretenden ser de empresas conocidas, servicios o incluso personas que conocemos son especialmente peligrosas.

No hace falta que te lo diga, pero siempre debemos ser cautelosos con los enlaces en los que hacemos clic.

Google ha respondido a las preocupaciones sobre el dominio .zip con la siguiente declaración:

“No es algo nuevo el riesgo de confusión entre los nombres de dominio y los nombres de archivos. Por ejemplo, los productos Command de 3M utilizan el nombre de dominio command.com, que también es un programa importante en MS-DOS y las primeras versiones de Windows. Las aplicaciones tienen medidas para mitigar esto (como Google Safe Browsing), y estas medidas se aplicarán también a los TLD como .zip. Al mismo tiempo, los nuevos espacios de nombres brindan oportunidades ampliadas para la nomenclatura, como community.zip y url.zip. Google toma en serio el phishing y el malware, y Google Registry cuenta con mecanismos existentes para suspender o eliminar dominios maliciosos en todos nuestros TLD, incluido .zip. Continuaremos monitoreando el uso de .zip y otros TLD, y si surgen nuevas amenazas, tomaremos las acciones apropiadas para proteger a los usuarios”.

Cada uno puede interpretar esto como desee. En mi opinión, los dominios .zip terminarán siendo similares a cualquier otro dominio y tan peligrosos como otros en manos equivocadas, pero aún no estoy convencido de que haya una razón realmente justificada para crear un dominio .zip en primer lugar.

Referencia: https://www.pcgamer.com/google-released-a-zip-web-domain-and-people-cant-decide-if-its-the-phishing-apocalypse-or-just-as-bad-as-any-other-dodgy-link/