Descubre qué es una extensión de dominio de riesgo, cómo identificar las más importantes para tu marca y cuáles son las preferidas por ciberdelincuentes para actividades fraudulentas.
Una de las ideas más importantes que compartimos con nuestros clientes es que los dominios son la primera línea de defensa contra el fraude. Conocer cómo se usan es fundamental para definir una estrategia preventiva para nuestra organización.
En este artículo te explicamos qué es una extensión de dominio de riesgo, te damos las claves para identificar los más relevantes para tu marca y echamos un vistazo a las más usadas por los ciberdelincuentes para realizar sus actividades fraudulentas.
Qué es un dominio de riesgo
Consideramos un dominio de riesgo aquél que, en manos equivocadas, puede generar un impacto negativo en el negocio a través de actividades fraudulentas o usos ilícitos de la marca (suplantación, phishing, ataques BEC, etc.). Todos los dominios tienen ese potencial, pero podemos establecer distintos niveles de amenaza que nos permitan implementar medidas de mitigación del riesgo.
El primer y esencial nivel de riesgo que tratamos en este artículo es el nombre de dominio idéntico al de nuestra marca que utiliza otras extensiones de dominio que no tenemos registradas. Sin embargo, es extrapolable a cualquier nombre de dominio que queramos proteger, contenga la marca principal, líneas de producto, nombre de campañas, etc.
Puede darse el caso de que exista otra marca idéntica a la nuestra, ya sea en el mismo mercado o en otro, por lo que el mismo dominio esté legítimamente en uso con otras extensiones. Por eso, es indispensable realizar una auditoría de marca y establecer qué hay registrado y, de lo que hay, qué es lícito y qué no.
En definitiva, todos aquellos nombres de dominio idénticos a nuestra marca que no tengamos registrados suponen el mayor riesgo directo de fraude online.
Factores que incrementan el riesgo de una extensión
Obviamente, registrar todos los nombres de dominio idénticos en todas las extensiones disponibles no es viable económicamente. Existen distintos factores que podemos tener en cuenta a la hora de determinar el grado de riesgo de una u otra extensión para nuestra marca.
Estos factores hacen que el riesgo de una extensión varíe para una marca u otra, por eso es relevante realizar este análisis debidamente.
Mercados
El o los mercados donde operamos determinan si la extensión territorial de ese país entraña más o menos riesgo, puesto que nuestros usuarios y clientes pueden sospechar de comunicaciones procedentes de un dominio con una extensión que no encaja. Si tenemos un negocio local, a nuestros usuarios les extrañará recibir un correo de un dominio tumarca.de o tumarca.fr. Si solo operamos en Europa, sospecharán al recibirlo de tumarca.tw, por ejemplo.
Un análisis fácilmente realizable es el de hacer una lista de países donde tenemos la marca registrada o cubiertos por el nivel de registro con el que la registramos, y hacer la concordancia correspondiente con las extensiones de dominio territoriales de esos países. Esto nos dará una primera aproximación de qué mercados o territorios nos interesa tener protegidos.
Si queremos una estrategia preventiva óptima, también incluiremos los dominios de los principales mercados, a nivel europeo o incluso global.
No se trata solo de bloquear potenciales usos fraudulentos, también de usos legítimos de marcas idénticas.
Otro aspecto relacionado son los planes de crecimiento. Si los objetivos de negocio a incluyen expandirse a otros mercados, pongamos el asiático, deberemos realizar el mismo análisis para las extensiones asiáticas.
Proximidad geográfica
Las extensiones territoriales de países donde no operamos pueden ser igualmente relevantes debido a su proximidad geográfica, puesto que a nuestros clientes les parecerá plausible que, por ejemplo, una empresa española opere también en Andorra y Portugal, por lo que un correo procedente de un dominio idéntico con extensión .ad o .pt puede no hacer saltar las alarmas.
Relevancia temática
Actualmente, hay más de 1.200 nuevas extensiones genéricas que pueden categorizarse en múltiples temáticas: salud, eCommerce, negocio, moda, etc.
En función de la actividad de nuestra marca, unas extensiones pueden ser muy relevantes. Por ejemplo, las marcas del sector Cosmética deberían tener en cuenta extensiones como .beauty o .skin.
Este ejemplo es muy específico, pero otras categorías más transversales como el eCommerce agrupan más extensiones a considerar. En este caso, las empresas que vendan online, ya sea directamente o a través de distribuidores, deberán tener en cuenta extensiones como .online, .shop, .tienda, .blackfriday, .cheap, .gratis, .shopping, .promo…
La presencia online de nuestros productos ofrece de por sí credibilidad cuando nos topamos con, por ejemplo, el dominio tumarca.shop. Si un usuario ha comprado productos de la marca online con anterioridad, verá creíble que ese dominio sea legítimo, aunque no sea cierto. Y ahí radica su riesgo.
A continuación os mostramos cómo se pueden agrupar las distintas extensiones de dominio por área temática:
Tecnología
.app .click .com.io .contact .dev .digital .directory .docs .download .email .id .info .io .it.com .media .mobi .mov .systems .technology .wiki .zip...
Retail
.blackfriday .cheap .eco .fan .forsale .gratis .moda .promo .sale .shoes .shop .shopping .tienda...
Negocio y profesión
.biz .business .careers .company .consulting .digital .enterprises .finance .international .marketing .solutions .abogado .legal...
Turismo
.apartments .cruises .flights .holiday .rentals .tours .travel .vacations .viajes...
Bienestar y Salud
.clinic .dental .dentist .doctor .fitness .health .healthcare .hospital .yoga...
Ocio y estilo de vida
.contact .events .fitness .futbol .group .media .new .news .stream .training .yoga .bar .love .cool .social .style .vip...
Facilidad de registro
Este punto puede resultar más complicado de analizar si no se cuenta con la ayuda de un proveedor especializado. Sin embargo, es un factor muy relevante a la hora de detectar riesgo potencial.
La edición 2024 del estudio sobre phishing de Interisle Consulting Group desvela que los dominios fraudulentos con extensión territorial han decrecido un 20%, mientras que los que usan nuevas extensiones genéricas han crecido, pasando de representar el 25% en 2023 al 42% en 2024.
Estos datos están relacionados con cambios en las políticas de Registros y, específicamente, al cierre de Freenom, que ofrecía dominios gratis con las extensiones territoriales .tk, .ml, .gq, .ga y .cf.
Es decir, los ciberdelincuentes priorizan el registro de dominios en proveedores que se los ofrecen gratis. Y, a falta de estos, se pasa a los menos caros. En definitiva, el coste de una extensión marca su nivel de riesgo, aunque no tenga nada que ver con el negocio.
Además de esta correlación entre coste de la extensión y número de dominios fraudulentos registrados con ella, entran en juego las políticas de registro de dominios de los Registradores. Cuantas menos medidas de verificación del titular, mayor es el número de dominios fraudulentos.
Una comparativa realizada por Interisle en el mismo informe pone de relieve las diferencias entre los Registros de 26 países europeos y 26 países asiáticos, estableciéndose una relación directa entre las políticas de los Registros y los niveles de riesgo. Con una única excepción: el .cn que, salvo tener requisitos, tiene un índice de riesgo alto.
En definitiva, los ciberdelincuentes utilizan extensiones de dominios gratis o baratas que no pidan explicaciones. De este modo, deberemos tener en el punto de mira los Registros que ofrecen dominios con estas condiciones y adelantarnos a terceros.
Falsificaciones y mercado gris
Las marcas que vendan o sean distribuidas en mercados donde impacta especialmente las falsificaciones y la distribución ilícita, deberán considerar también las extensiones de dominio relativas a estos territorios. Por ejemplo, volviendo al sector Cosmética, sería recomendable registrar extensiones (de primer y segundo nivel, según el caso) del sur-este asiático como .id, .tw, .vn, .th, .ph o .my.
Otras extensiones históricamente asociadas con las falsificaciones son las territoriales .cn, .br, .mx, .co, .cl o .ma, también algunas perteneciente a países del este de Europa, como .by, .ro, .ua, .hr, .ba o .pl, entre otros.
Por otra parte, si nuestros productos son premium o se mueven en ámbito del lujo, debemos considerar también mercados de lujo y sus ccTLDs o extensiones de dominio territoriales correspondientes, como el .ae, el .cn o el .ru.
Los dominios más usados para ataques de phishing y malware
A continuación, echamos un vistazo a los dominios que encabezan los rankings de riesgo. El nivel de riesgo es calculado mediante la relación entre la cantidad de dominios registrados con un TLD y la cantidad de ellos que son usados para phishing o contienen malware.
El .com es el más usado, pero no el más peligroso
La extensión de dominio .com es la más usada para realizar ciberataques, pero no es el que obtiene un mayor índice de riesgo. Esto se debe a que históricamente es el TLD más usado, en general, para registrar dominios, por lo que es un tema de volumen.
Además, la mayoría de las marcas registran aún el .com como su dominio principal o de forma preventiva en caso de no ser así.
El .top y .cn, más usados y de mayor riesgo
Si echamos un vistazo a la lista de extensiones de dominio más usadas con malas intenciones, nos encontramos los TLDs .com, .top, .xyz, .cn y .info encabezan la lista del Phishing Landscape 2024 de Interisle. Además, todos ellos son repetidores, si no de manera consecutiva en ciclos, lo que demuestra cómo los ciberdelincuentes cambian de TLDs en base a oportunidades o factores externos, como hemos visto anteriormente con el ejemplo del cierre de Freenom.
Sin embargo, como veíamos más arriba, el riesgo no está en el total de dominios registrados usados, sino en la proporción entre benignos y malignos. En base a esto, el informe de Interisle establece que las extensiones de dominio más peligrosas actualmente son .lol, .bond, .support, .top y .sbs.
El informe anual de Domain Tools nos ofrece una diferenciación entre tipologías de ataques interesante: phishing, malware y spam. Según su análisis, el .top se encontraría entre las 10 extensiones con mayor cantidad de dominios usados para realizar ataques de phishing. Cabe destacar que, en relación al periodo anterior, el nivel de riesgo del .top ha disminuido significativamente. Esto se debe a que ha crecido muchísimo el número de dominios .top registrados legítimos y en una proporción menor los malignos. Otro aspecto relevante del .top es que, respecto a los datos de 2023, ya no aparece en los top 10 por malware ni spam.
En el caso del .cn y a diferencia del año anterior, sí aparece en el top 10 de dominios con mayor índice de riesgo en relación a spam.
Las extensiones más usadas para phishing
De acuerdo con el informe de Domain Tools, las extensiones de dominio más usadas para realizar ataques de phishing son .gq, .cf, .tk y .lol, principalmente. A continuación, tienes el top 10 entero:
Cabe destacar que casi la mitad son repetidoras, es decir, ya aparecían en el top 10 del 2023, concretamente: .gq, .live, .monster y .top. Esto indica que son extensiones aún activamente utilizadas para cometer actividades ilícitas, un indicador a tener en cuenta en nuestra estrategia de registros preventivos.
Cualquier marca proveedora de servicios o productos puede ser víctima de phishing que solicite datos sensibles, incluidos números de tarjeta de crédito y DNI, a clientes y usuarios. Por eso, recomendamos echar un vistazo a este ranking y tomar medias preventivas.
Las extensiones más usadas para distribuir malware
A nivel de distribución de malware, la lista de extensiones más usadas está encabezada por el .tk y con gran diferencia respecto a las 9 siguientes. En términos generales, sin embargo, el nivel de riesgo relativo a malware parece que ha disminuido en general respecto a 2023.
Los repetidores en esta categoría son .monster y .buzz, la primera también en el top 10 de phishing y repetidora, por lo que hay que tenerla seriamente en cuenta.
Las extensiones más usadas para hacer spam
De nuevo en el top 1 y con gran diferencia se sitúa el .tk, seguido del .tokyo. Ambos repetidores, junto con el .click.
Dominos maliciosos vs dominios comprometidos
El estudio de Interisle ofrece una diferenciación interesante del tipo de malignidad de los dominios, separando aquellos que han sido registrados con el objetivo de usarlos para realizar ciberataques de aquellos comprometidos, es decir, registrados legítimamente y, en algún momento, han sido explotados por un tercero para realizar acciones ilícitas.
Los datos muestran que los dominios usados para realizar ataques de phishing fueron registrados con ese propósito, especialmente cuando se utilizaron nuevas extensiones genéricas (93%) y significativamente en mayor medida se usaron dominios ajenos con extensiones territoriales (52%).
Si echamos un vistazo solo a los dominios registrados maliciosamente para realizar phishing, nos encontramos algunas sorpresas. En cuanto a nuevas extensiones genéricas, encabeza la lista el .shop, seguido del .bond, .lol, .sbs, .top, .cfd, .club y .xyz.
En cuanto a dominios territoriales, la lista está encabezada por el .cc, seguido del .pl, .ru, .co, .id y .us.
En definitiva, los datos nos indican que, a pesar de que los cibercriminales prefieren registrar dominios y de la tipología de extensión nuevos genéricos (ngTLDs), las extensiones territoriales legítimas son las más explotadas, por lo que no podemos descuidarlas.
Resumen: TLDs de alto riesgo a tener en cuenta según los rankings de riesgo
En definitiva, recogemos a continuación algunos de los TLDs más peligrosos en base a los informes de riesgo recientes y que deberíais contemplar en vuestra estrategia de Protección de Marca Online:
.LOL: es la extensión con mayor número proporción de dominios fraudulentos y dominios legítimos, lo que indica que es altamente usado para cometer fraude. Además, aparece en cuarta posición en el top 10 de extensiones con mayor índice de riesgo en phishing y el número de registros ha aumentado significativamente desde principios de 2024, por lo que se está usando activamente en la actualidad.
.SUPPORT: es la tercera extensión con mayor proporción de dominios fraudulentos registrados. Además, aparece en el top 10 de extensiones con mayor índice de riesgo en phishing. A pesar de estar disponible desde 2014, se incrementó significativamente el número de registros en 2022 y sigue creciendo actualmente, doblándose la cifra. Por otro lado, el significado y uso en el ámbito de los negocios es de alta importancia, ofreciéndole un mayor impacto potencial si es usado maliciosamente contra una marca.
.SBS: aparece en el top 5 de extensiones con mayor proporción de dominios fraudulentos y es de los que mayor porcentaje de registro
malicioso presenta. Desde inicios de 2024 se ha incrementado el número de registros significativamente, llegando a un crecimiento del 400% en
lo que llevamos de año.
.CN: es el ccTLD más registrado y con un elevado índice de riesgo a pesar de disponer de requisitos de registro. Lleva 3 años consecutivos apareciendo en el top 5 de extensiones más reportadas de Domain Tools y se aparece en el top 10 de extensiones con mayor índice de spam de 2024. Además, tiene una relación estrecha con el negocio de las falsificaciones y copias.
.MONSTER: aparece en los top 10 de phishing y malware, repitiendo
respecto 2023. Desde 2021 no ha parado de crecer en número de
registros.
.BOND: es la segunda extensión con mayor proporción de dominios fraudulentos respecto a legítimos. Desde principios de 2024 han aumentado significativamente el número de registros.
.TK, .CF Y .GQ: a pesar de haber disminuido el número de registros debido al cierre de Freenom, estos TLDs aún arrastran un índice de riesgo elevado tanto en phishing, como malware y spam. Especialmente el .tk, que encabeza el malware y spam, y se sitúa en tercera posición en phishing.
.LIVE: repite en el top 10 de phishing y aparece en el de malware. A pesar de no tener uno de los niveles de riesgo más elevados, sigue en crecimiento desde 2022 (desde entonces se ha prácticamente triplicado), por lo que vale la pena tenerlo en consideración, especialmente las marcas del ámbito de los media y contenidos digitales.
.TOP: a pesar de haber disminuido su índice de riesgo, sigue siendo una de las extensiones más usadas y apareciendo en el top 10 de phishing, así como el segundo ngTLD más registrado.
.BUZZ: aparece en el top 10 de extensiones con mayor índice de riesgo en distribución de malware, repitiendo respecto a 2023. No ha parado de crecer en número de registros desde 2022, con un especial incremento a mitad de 2023.
.CLUB: aparece en el top 5 de extensiones con mayor proporción de dominios fraudulentos. A finales de 2021 hubo un boom de registros y ha seguido creciendo, habiéndose casi doblado desde entonces.
.CFD: aparece también en el top 5 de extensiones con mayor proporción de dominios fraudulentos. A pesar de haberse frenado, el número de registros no ha parado de crecer desde 2023.
.XYZ: a pesar de no aparecer en los top 10 de Domain Tools, el .xyz ha estado presente en el top 5 de extensiones más reportadas de los últimos 4 años, salvo 2023, y sigue siendo el ngTLD más registrado.
.INFO: aparece en el top5 de extensiones más reportadas de 2024 y ya desde 2011 se ha relacionado con ataques de phishing. Actualmente, es el tercer ngTLD más registrado.
.COM: aún es el más usado con objetivos fraudulentos, por lo que vale la pena realizar un registro preventivo de aquellos nombres de dominio que nos interese proteger, no solo el principal.
Conclusiones
Realizar un análisis exhaustivo de la presencia de nuestra marca online (o auditoría de marca) alineada con la estrategia y objetivos de negocio nos ayudará a definir uno de los pilares fundamentales de nuestra estrategia de Protección de Marca Online: las medidas preventivas contra la ocupación de dominios, ciberataques y suplantación de marca.
Existen múltiples factores que marcan cómo debe ser nuestra estrategia preventiva relacionada con los dominios y hacen que varíe de una marca a otra.
Este análisis debe ir acompañado de los datos más recientes relativos a extensiones, prácticas y tendencias de los ciberdelincuentes para definir mejor nuestras medidas de prevención, anticipación y vigilancia.
¿Te ayudamos con tu estrategia de dominios?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.