En el sector del phishing, los atacantes no dejan de innovar. Ahora, están usando caracteres Unicode que parecen inofensivos, pero que pueden engañarte y llevarte directo a sitios falsos. Uno de los trucos más recientes usa la letra japonesa “ん” para que una URL parezca legítima de Booking.com, cuando en realidad apunta a un dominio malicioso que instala malware.
El truco detrás del “ん”
La campaña fue detectada por investigadores de seguridad y aprovecha el carácter japonés hiragana “ん” (Unicode U+3093). En algunas tipografías, este símbolo se ve parecido a “/n” o “/~”, lo que hace que a simple vista la dirección parezca auténtica.
Por ejemplo, en un correo de phishing, puedes ver algo como:
https://admin.booking.com/hotel/hoteladmin/
Pero el enlace real oculta algo como:
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
El navegador lo mostrará como si estuvieras navegando en una subcarpeta de booking.com, pero el dominio verdadero es www-account-booking[.]com, un sitio falso diseñado para robarte información.
Copia de un correo electrónico de phishing compartido por el investigador de seguridad JamesWT (Fuente: BLEEPINGCOMPUTER)
Qué pasa si caes en la trampa
Si haces clic, el sitio te redirige y descarga un instalador malicioso (MSI) desde un servidor externo. Este archivo puede contener ladrones de información (infostealers) o troyanos de acceso remoto (RATs), herramientas que permiten a los atacantes robar credenciales, acceder a tu sistema o espiar tu actividad.
También podría interesarte: ¿Sabes detectar un ataque de phishing?
Intuit también en la mira
En otra campaña, los atacantes enviaban correos que imitaban a Intuit, pero usando un dominio falso que reemplazaba la “i” por una “L” (Lntuit). En minúsculas, la diferencia es casi invisible.
En dispositivos móviles, estos correos se ven convincentes, y el botón de “Verificar mi email” lleva a un dominio fraudulento. Si accedes fuera del correo, el enlace incluso puede redirigirte a la página legítima de Intuit, una táctica para evitar levantar sospechas.
Página de phishing tal como aparece en un navegador web (Fuente: BLEEPINGCOMPUTER)
El peligro de los homoglifos
Estos ataques se basan en homoglifos: caracteres visualmente similares a otros, pero que pertenecen a diferentes alfabetos o juegos de caracteres. Ejemplos clásicos incluyen letras cirílicas que parecen latinas o símbolos de otros idiomas que se confunden con signos comunes.
Aunque navegadores y plataformas han implementado medidas para detectar esto, no siempre son infalibles. Los atacantes siguen encontrando formas de colar estos trucos en campañas de phishing.
Correo electrónico de phishing de Intuit de 'Lntuit.com' visto en Mailspring para macOS (Fuente: Sergiu Gatlan)
Conoce más sobre: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
¿Cómo protegerte?
En TecnetOne te recomendamos:
- Pasa el cursor por encima de los enlaces antes de hacer clic para ver el dominio real.
- Fíjate en el dominio principal: está justo antes del primer /.
- No confíes solo en la inspección visual; los homoglifos pueden engañar a cualquiera.
- Mantén actualizado tu software de seguridad: los kits de phishing modernos suelen instalar malware directamente tras el clic.
- Desconfía de la urgencia: si el correo dice que debes actuar “ya” o “inmediatamente”, tómate un momento para verificarlo.
Cómo aparece el correo electrónico de phishing de Intuit en móvil (Fuente: Sergiu Gatlan)
Conclusión
Los ataques de phishing evolucionan constantemente, y el uso de caracteres “trampa” como el ん demuestra que los ciberdelincuentes saben aprovechar hasta los más mínimos detalles tipográficos para engañarte. En TecnetOne podemos ayudarte a implementar soluciones que detecten este tipo de amenazas y a formar a tu equipo para que reconozca los signos de un fraude antes de que sea demasiado tarde.
