Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es el Typosquatting? Métodos de ataque a dominios y prevención
Cybersecurity 101/Ciberseguridad/Typosquatting

¿Qué es el Typosquatting? Métodos de ataque a dominios y prevención

Los ataques de typosquatting explotan errores de escritura para redirigir a los usuarios a dominios falsos que roban credenciales. Conozca los métodos de ataque y las estrategias de prevención empresarial.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es el typosquatting?
Por qué la seguridad tradicional falla contra el typosquatting
Tipos de ataques de typosquatting
¿Cómo funciona el typosquatting?
Ataques de typosquatting en el mundo real
Por qué el typosquatting tiene éxito
Desafíos en la defensa contra el typosquatting
Errores comunes en la defensa contra el typosquatting
Cómo detectar typosquatting dirigido a tu marca
Mejores prácticas para la prevención del typosquatting
Detén ataques de typosquatting con SentinelOne
Puntos clave

Entradas relacionadas

  • Gestión de Derechos Digitales: Una Guía Práctica para CISOs
  • ¿Qué es la seguridad de Remote Monitoring and Management (RMM)?
  • Protocolo de Resolución de Direcciones: Función, Tipos y Seguridad
  • ¿Qué son las copias de seguridad inmutables? Protección autónoma contra ransomware
Autor: SentinelOne | Revisor: Dianna Marks
Actualizado: March 2, 2026

¿Qué es el typosquatting?

Escribes "gogle.com" en lugar de "google.com" y presionas Enter. En milisegundos, estás frente a una página de robo de credenciales que explota una simple omisión de carácter. Ese único error de pulsación acaba de entregar a los atacantes acceso a tus credenciales corporativas.

El typosquatting es un ataque basado en dominios donde los actores de amenazas registran nombres de dominio que se asemejan mucho a sitios web legítimos explotando errores comunes de escritura. Según el Informe de Delitos en Internet del FBI de 2023, el phishing y los ataques de suplantación de identidad (el principal caso de uso de dominios typosquatted) generaron 298,878 denuncias solo en 2023.

La guía oficial de CISA define el typosquatting como un ataque de ingeniería social basado en dominios donde los actores de amenazas "configuran dominios falsificados con características ligeramente alteradas de dominios legítimos" mediante variaciones de caracteres diseñadas para engañar a los usuarios. Los atacantes explotan errores comunes de escritura registrando dominios como "gogle.com" (omisión de carácter), "googel.com" (transposición de caracteres) o "googlr.com" (error de tecla adyacente) para crear infraestructuras de phishing convincentes.

El ataque tiene éxito porque la percepción humana difiere de la precisión de las máquinas. Tus ojos ven "paypal.com" en pantalla, pero el navegador resuelve "pаypal.com" con un carácter 'а' cirílico (U+0430) que se muestra idéntico a la 'a' latina (U+0061). El dominio pertenece a los atacantes, no a PayPal.

El typosquatting no requiere una narrativa de ingeniería social. Los atacantes simplemente esperan errores de escritura que ocurren con una frecuencia predecible. Cuando operas a escala empresarial con miles de empleados accediendo a cientos de plataformas SaaS diariamente, esos errores se convierten en oportunidades de ataque medidas en volumen, no en probabilidad.

Comprender la magnitud de esta amenaza plantea una pregunta inmediata: ¿por qué los controles de seguridad existentes no detienen estos ataques?

Typosquatting - Featured Image | SentinelOne

Por qué la seguridad tradicional falla contra el typosquatting

El typosquatting funciona como punto de entrada para cadenas de ataque en múltiples etapas que eluden por completo tus defensas perimetrales. Según la alerta CISA AA23-025A, "el dominio malicioso de primera etapa vinculado en el correo electrónico de phishing inicial redirige periódicamente a otros sitios para redirecciones adicionales y descargas de software RMM." Tu seguridad en el endpoint nunca ve el compromiso inicial porque navegaste voluntariamente al dominio malicioso.

El filtrado tradicional de URL falla porque los dominios typosquatted no tienen historial de reputación maliciosa. Los registros DNS muestran consultas legítimas iniciadas por el usuario en lugar de patrones de comando y control. Los certificados SSL pasan las comprobaciones de validación, mostrando iconos de candado confiables. Tu pila de seguridad ve un comportamiento autorizado del usuario, no actividad maliciosa, hasta que se ejecuta la carga útil.

El impacto en ciberseguridad va más allá del robo individual de credenciales. Investigaciones de la Universidad Carnegie Mellon documentaron que los dominios typosquatted reciben volúmenes significativos de correos electrónicos desviados anualmente a través de la infraestructura centralizada de servidores de correo. Cuando tus usuarios envían accidentalmente comunicaciones corporativas a versiones typosquatted de tu propio dominio, los atacantes interceptan inteligencia empresarial, datos financieros y comunicaciones estratégicas sin activar una sola alerta de seguridad.

Para defenderte de estos ataques, primero debes comprender las técnicas específicas que los atacantes utilizan para crear dominios engañosos.

Tipos de ataques de typosquatting

Los atacantes emplean técnicas distintas para generar variantes de dominio convincentes. Las investigaciones confirman que aproximadamente el 99% de los dominios typosquatted utilizan modificaciones de un solo carácter, lo que hace que estos patrones sean predecibles pero efectivos.

  1. Omisión de carácter elimina una letra: "gogle.com" en lugar de "google.com". Esto explota la escritura rápida donde los dedos omiten teclas.
  2. Duplicación de carácter añade letras extra: "googgle.com" apunta a errores de doble pulsación en caracteres repetidos.
  3. Transposición de caracteres intercambia letras adyacentes: "googel.com" explota la tendencia natural a invertir el orden de las letras al escribir rápidamente.
  4. Sustitución por tecla adyacente reemplaza caracteres por vecinos del teclado: "googlr.com" (r adyacente a e) apunta a errores físicos de escritura.
  5. Ataques de homógrafos sustituyen caracteres Unicode visualmente idénticos. Según investigaciones de ICANN, se documentaron 11,766 homógrafos IDN únicos en 20 meses. La 'а' cirílica (U+0430) se muestra idéntica a la 'a' latina (U+0061), haciendo que "pаypal.com" sea visualmente indistinguible del dominio legítimo.
  6. Dominios doppelganger omiten puntos en subdominios: "wwwgoogle.com" o "aborofamerica.com" (falta el punto después de "boa") capturan tráfico de usuarios que omiten el punto entre subdominio y dominio.
  7. Combosquatting añade palabras que suenan legítimas: "google-login.com" o "secure-paypal.com" parecen subdominios oficiales aunque pertenecen a atacantes.
  8. Sustitución por TLD incorrecto explota la confusión de extensiones de dominio: los atacantes registran company.co, company.net y company.org cuando solo posees company.com.
  9. Variaciones de guion añaden o eliminan guiones: "face-book.com" versus "facebook.com" apunta a la incertidumbre sobre la colocación de guiones en nombres de marca.
  10. Bitsquatting explota errores de memoria de hardware que cambian aleatoriamente un solo bit en nombres de dominio en caché, redirigiendo tráfico a dominios con un bit diferente respecto al objetivo legítimo.

Cada una de estas técnicas persigue el mismo objetivo: llevar a las víctimas a un destino malicioso. Pero registrar un dominio engañoso es solo el primer paso. Así es como los atacantes transforman estos dominios en amenazas operativas.

¿Cómo funciona el typosquatting?

Los ataques de typosquatting siguen un ciclo operativo de cuatro fases que transforma dominios registrados en amenazas activas contra tu organización.

  1. Fase 1: Identificación y registro de dominios. Los atacantes utilizan algoritmos para generar variantes tipográficas de dominios de alto valor. Identifican marcas con alto volumen de tráfico, credenciales valiosas o capacidades de transacción financiera, luego registran cientos de variantes en múltiples TLD.
  2. Fase 2: Configuración de infraestructura establece la infraestructura maliciosa. Los atacantes configuran registros DNS que apuntan los dominios typosquatted a servidores web que alojan páginas de inicio de sesión clonadas, plataformas de distribución de malware o cadenas de redirección. Obtienen certificados SSL válidos y configuran servidores de correo para capturar correos electrónicos desviados.
  3. Fase 3: Captura de tráfico ocurre a través de múltiples canales. Los errores de navegación directa suceden cuando escribes manualmente URLs con pequeños errores de carácter. Las campañas de correo electrónico desde cuentas comprometidas contienen enlaces typosquatted que parecen legítimos en el contexto del mensaje. El FBI advirtió que "los actores de amenazas crean sitios web falsificados a menudo alterando ligeramente características de dominios legítimos, con el propósito de recopilar información sensible de las víctimas."
  4. Fase 4: Monetización emplea múltiples estrategias según los objetivos del atacante:
  • El robo de credenciales apunta a plataformas SaaS donde las credenciales robadas otorgan acceso a datos corporativos
  • La distribución de malware entrega ransomware e infostealers mediante descargas drive-by
  • La interceptación de correo electrónico captura comunicaciones desviadas que contienen información empresarial sensible
  • El fraude publicitario genera ingresos mediante redirecciones forzadas a redes de publicidad
  • La suplantación de marca respalda esquemas de compromiso de correo electrónico empresarial

Investigaciones de la Universidad Carnegie Mellon documentaron que los dominios typosquatted reciben aproximadamente 800,000 correos electrónicos anualmente a través de infraestructura centralizada.

Este modelo operativo no es teórico. Incidentes de alto perfil demuestran exactamente cómo estos ataques afectan a las organizaciones en la práctica.

Ataques de typosquatting en el mundo real

Los incidentes documentados revelan cómo el typosquatting afecta a organizaciones sin importar su tamaño, industria o madurez en seguridad. Estos casos demuestran tanto el daño directo de los ataques como los riesgos reputacionales que les siguen.

  • Google vs. Gooogle LLC (2022): En octubre de 2022, Google presentó una demanda en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York contra Gooogle LLC, una empresa que registró dominios como "gooogle.com" (con una 'o' extra). Según documentos judiciales, el dominio typosquatted distribuía malware y realizaba campañas de phishing dirigidas a usuarios de Google. El caso demostró cómo incluso las marcas más reconocidas del mundo enfrentan amenazas continuas de typosquatting.
  • Incidente de typosquatting en Equifax (2017): Durante las secuelas de la masiva violación de datos de Equifax que afectó a 147 millones de consumidores, la propia empresa dirigió accidentalmente a las víctimas de la brecha a un dominio typosquatted. La cuenta oficial de Twitter de Equifax publicó enlaces a "securityequifax2017.com" en lugar del legítimo "equifaxsecurity2017.com" para la respuesta a la brecha. El dominio typosquatted, creado por un investigador de seguridad, podría haber sido utilizado por atacantes para robar credenciales de víctimas confundidas.

Estos incidentes ilustran cómo el typosquatting amenaza a las organizaciones tanto como objetivos como posibles facilitadores involuntarios de ataques contra sus propios clientes. Pero ¿qué hace que este vector de ataque sea tan consistentemente efectivo en diferentes industrias y objetivos?

Por qué el typosquatting tiene éxito

El typosquatting explota ventajas fundamentales de los atacantes que hacen que esta técnica sea consistentemente efectiva sin importar tus inversiones en seguridad.

  • El error humano está estadísticamente garantizado. El FBI documentó 298,878 denuncias de phishing en 2023. A escala empresarial, con miles de empleados escribiendo URLs diariamente, los errores de escritura ocurren con certeza matemática. Los atacantes no necesitan exploits sofisticados cuando el simple registro de dominios captura tráfico desviado de manera orgánica por el comportamiento humano predecible.
  • La percepción visual no puede distinguir caracteres idénticos a nivel de píxel. Cuando miras "pаypal.com" que contiene la 'а' cirílica (U+0430) en lugar de la 'a' latina (U+0061), tu corteza visual lo procesa como "paypal.com" porque los glifos renderizados son idénticos. Según investigaciones de ICANN, los atacantes registraron miles de variantes de homógrafos explotando esta limitación biológica.
  • Los indicadores de confianza se convierten en armas. Los atacantes obtienen certificados SSL válidos para dominios typosquatted de autoridades certificadoras legítimas en minutos. El icono de candado que entrenaste a los usuarios a verificar ahora brinda una falsa sensación de seguridad. Según la documentación de ICANN, el certificado solo prueba que la conexión está cifrada, no que el dominio sea legítimo.
  • La ejecución del ataque requiere recursos mínimos. El registro de dominios cuesta menos de $15 y se completa en minutos. Certificados SSL gratuitos de Let's Encrypt otorgan legitimidad instantánea. Los kits de phishing automatizan el despliegue de páginas de robo de credenciales. Los atacantes no enfrentan barreras técnicas, lo que permite campañas a gran escala con mínima inversión.

Estas ventajas de los atacantes crean desafíos correspondientes para los equipos de seguridad que intentan defenderse del typosquatting.

Desafíos en la defensa contra el typosquatting

Los equipos de seguridad enfrentan limitaciones estructurales que hacen que la defensa contra el typosquatting sea fundamentalmente difícil, incluso con recursos y herramientas adecuados.

  • La detección basada en reputación llega demasiado tarde. Tu pila de seguridad depende de listas de bloqueo y feeds de inteligencia de amenazas que identifican dominios maliciosos después de haber sido observados en ataques. Los dominios typosquatted recién registrados no tienen historial de reputación, eludiendo tus filtros hasta que las primeras víctimas ya han sido comprometidas.
  • La escala de variantes supera la capacidad de monitoreo. Una sola marca genera cientos de variantes typosquatted matemáticamente posibles a través de modificaciones de caracteres, alternativas de TLD y combinaciones de combosquatting. Monitorear cada permutación en cada TLD, combinado con homógrafos IDN, supera la capacidad práctica de revisión humana o automatizada.
  • La superficie de ataque va más allá de los dominios web. Los atacantes ahora despliegan typosquatting en repositorios de paquetes de software (NPM, PyPI, RubyGems) y repositorios de modelos de IA/ML (Hugging Face). Tu monitoreo de dominios no brinda visibilidad cuando los desarrolladores instalan accidentalmente "requets" en lugar de "requests" desde gestores de paquetes comprometidos.
  • La interceptación de correo electrónico no genera alertas de seguridad. Cuando los empleados envían accidentalmente comunicaciones internas a versiones typosquatted de tu dominio, no se activa ninguna detección. Los atacantes operan servidores de correo centralizados que recopilan silenciosamente correos desviados con inteligencia empresarial, datos financieros y comunicaciones estratégicas.
  • Los procesos de eliminación son más lentos que los ataques. Las quejas UDRP y los reportes de abuso a registradores requieren días o semanas para procesarse. Los atacantes registran dominios de reemplazo más rápido de lo que los mecanismos legales los eliminan, creando un ciclo interminable donde la defensa siempre va detrás del ataque.

Estos desafíos estructurales a menudo llevan a los equipos de seguridad a cometer errores comunes que en realidad amplían las brechas que los atacantes explotan.

Errores comunes en la defensa contra el typosquatting

Tu organización probablemente comete errores al implementar defensas contra el typosquatting que crean brechas explotables que los atacantes buscan activamente.

  • Error 1: Suponer que el filtrado de URL brinda protección adecuada. Has implementado proxies web y servicios de filtrado DNS que bloquean dominios maliciosos conocidos. Esta suposición falla porque los dominios typosquatted aparecen recién registrados sin historial de reputación maliciosa.
  • Error 2: Descuidar la implementación de autenticación de correo electrónico. No has desplegado DMARC con políticas de aplicación (p=quarantine o p=reject) para los dominios de tu organización. Sin la aplicación de DMARC, mensajes falsificados llegan a las bandejas de entrada de los destinatarios mientras tu reputación de marca sufre por campañas de phishing que no enviaste.
  • Error 3: Enfocarse exclusivamente en dominios web e ignorar la cadena de suministro de software. Tu equipo de seguridad monitorea registros de dominios para typosquatting web pero no brinda visibilidad sobre instalaciones de gestores de paquetes en estaciones de trabajo de desarrolladores. Cuando los desarrolladores escriben "requets" en lugar de "requests" en un comando pip install, los paquetes typosquatted se despliegan directamente en los entornos de desarrollo.
  • Error 4: Entrenar a los usuarios para verificar iconos de candado sin explicar las limitaciones del certificado. Tu capacitación en concienciación de seguridad tiene una brecha: no has explicado que los atacantes obtienen fácilmente certificados SSL válidos para dominios typosquatted. El certificado prueba el cifrado, no la legitimidad.
  • Error 5: Implementar defensas sin medir su efectividad. Has registrado variantes defensivas de dominio y configurado autenticación de correo electrónico, pero no has desplegado monitoreo para medir con qué frecuencia los usuarios encuentran dominios typosquatted dirigidos a tu organización.

Evitar estos errores comienza con la visibilidad. No puedes defenderte de amenazas que no sabes que existen.

Cómo detectar typosquatting dirigido a tu marca

Identificar dominios typosquatted antes de que los atacantes los utilicen requiere monitoreo proactivo en múltiples fuentes de datos.

  • El monitoreo de Certificate Transparency brinda visibilidad casi en tiempo real sobre nuevos certificados SSL emitidos. Cuando los atacantes obtienen certificados para dominios similares a tu marca, los registros CT capturan el evento de emisión. Configura alertas para emisiones de certificados que contengan el nombre de tu organización o nombres de productos.
  • La analítica DNS revela patrones sospechosos de registro. Monitorea registros masivos de dominios similares a tu marca en múltiples TLD en cortos periodos de tiempo. Los atacantes suelen registrar docenas de variantes simultáneamente antes de lanzar campañas.
  • El monitoreo de bases de datos WHOIS rastrea nuevos registros de dominios que coinciden con patrones de typosquatting. Los servicios comerciales de inteligencia de amenazas generan variantes de typosquatting algorítmicamente y alertan cuando aparecen dominios coincidentes en las bases de datos de registro.
  • Los algoritmos de generación de typosquatting crean listas completas de variantes usando cálculos de distancia Damerau-Levenshtein. Estas herramientas generan todas las modificaciones posibles de un solo carácter y luego cruzan con registros DNS activos para identificar amenazas registradas.
  • El análisis de tráfico web identifica cuándo tus usuarios navegan a dominios typosquatted. Los registros de consultas DNS, datos de proxies web y telemetría de endpoints revelan patrones de tráfico desviado que indican campañas activas de typosquatting dirigidas a tu organización.

La detección por sí sola no es suficiente. Una vez que puedes identificar amenazas de typosquatting, necesitas defensas sistemáticas que prevengan el compromiso desde el principio.

Mejores prácticas para la prevención del typosquatting

Defenderse del typosquatting requiere controles en capas que aborden simultáneamente vulnerabilidades a nivel de dominio, red, endpoint y organización.

  • Implementa el registro defensivo de dominios con priorización basada en riesgos. Según la guía de CIS, debes "considerar la compra de variaciones de tus dominios para protegerte contra errores tipográficos comunes." Registra las variantes de typosquatting más predecibles en cuatro categorías principales:
  1. Variaciones de guion (company-name.com vs companyname.com)
  2. Variaciones de homógrafos usando caracteres similares, especialmente caracteres cirílicos
  3. Errores ortográficos comunes basados en errores de proximidad de teclado
  4. Alternativas críticas de TLD (.com, .net, .org, .co)
  • Despliega autenticación de correo electrónico con aplicación DMARC por fases. Configura registros SPF, implementa firma DKIM y despliega DMARC en modo monitor (p=none) inicialmente. Tras validar fuentes legítimas de correo, transiciona a políticas de cuarentena y luego de rechazo.
  • Configura controles de seguridad DNS con resolución cifrada. Despliega DNSSEC para validar respuestas DNS criptográficamente. Configura servicios DNS protectores que bloqueen dominios recién registrados hasta que se complete el análisis de reputación.
  • Establece monitoreo continuo de dominios con alertas autónomas. Suscríbete a feeds de registro de dominios de registros de Certificate Transparency, bases de datos WHOIS y servicios comerciales de monitoreo de dominios. Monitorea variantes de combosquatting que combinen el nombre de tu organización con palabras comunes como secure, login, portal, verify y account.
  • Construye protecciones a nivel de endpoint que detengan las consecuencias posteriores al clic. La Singularity Platform de SentinelOne proporciona capacidades de respuesta autónoma que aíslan endpoints cuando ocurren comportamientos sospechosos, deteniendo la ejecución de malware y los intentos de robo de credenciales que siguen a compromisos por typosquatting.
  • Capacita a los usuarios en técnicas específicas de verificación. Entrena a los usuarios para examinar manualmente las URLs carácter por carácter antes de ingresar credenciales. Enfatiza el uso de marcadores para sitios de acceso frecuente en lugar de escribir manualmente la URL.

Aun con estos controles implementados, algunos ataques de typosquatting llegarán a tus usuarios. Cuando la prevención falla, necesitas protección a nivel de endpoint que detenga las consecuencias.

Detén ataques de typosquatting con SentinelOne

La Singularity Platform de SentinelOne proporciona protección a nivel de endpoint contra las actividades maliciosas que ocurren cuando los usuarios acceden a dominios typosquatted, complementando las defensas basadas en dominios que previenen la navegación inicial a sitios maliciosos.

Cuando cargas maliciosas se despliegan en tus endpoints tras intentos de robo de credenciales, Singularity Endpoint ofrece IA conductual que detecta el robo de credenciales en tiempo real. Experimentas un 88% menos de ruido que soluciones competidoras según evaluaciones independientes de MITRE ATT&CK, permitiendo que tu SOC se enfoque en amenazas reales en lugar de investigar falsos positivos.

  • Acelera la respuesta a incidentes de typosquatting con Purple AI. Según investigaciones de SentinelOne, Purple AI acelera significativamente la identificación y remediación de amenazas. Cuando descubres que usuarios navegaron a dominios typosquatted, Purple AI consulta tus datos de endpoint usando lenguaje natural, identificando instantáneamente qué sistemas accedieron al dominio y si ocurrieron comportamientos sospechosos. Tu flujo de investigación se transforma de horas a minutos. En lugar de correlacionar manualmente registros DNS, datos de proxies web y telemetría de endpoints en múltiples plataformas, preguntas a Purple AI: "¿Qué endpoints resolvieron typosquatted-domain.com en los últimos 7 días y qué procesos se ejecutaron después?" Purple AI devuelve líneas de tiempo forenses completas mostrando exactamente lo que ocurrió en los sistemas afectados.
  • Obtén visibilidad completa de la cadena de ataque con la tecnología Storyline cuando el typosquatting sirve como punto de entrada de compromiso inicial. Storyline captura cada creación de proceso, conexión de red, modificación de archivos y cambio de registro que sigue. Ves la progresión completa del ataque desde la navegación inicial en el navegador hasta el robo de credenciales, intentos de movimiento lateral y exfiltración de datos en una única línea de tiempo unificada.

Solicita una demostración de SentinelOne para fortalecer la protección de endpoints contra ataques de typosquatting. Singularity Endpoint bloquea la ejecución de malware, detecta intentos de robo de credenciales en tiempo real con 88% menos ruido que soluciones competidoras y detiene la progresión del ataque mediante monitoreo de IA conductual.

Ciberseguridad basada en IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

El typosquatting aprovecha errores de escritura humanos predecibles, generando 298,878 denuncias al FBI en 2023 y permitiendo ataques que van desde el robo de credenciales hasta la distribución de ransomware. El ataque tiene éxito porque los dominios recién registrados no tienen historial de reputación maliciosa, lo que les permite eludir los controles de seguridad tradicionales hasta que se observan en ataques activos.

La defensa efectiva requiere controles en capas: registro defensivo de dominios, autenticación de correo electrónico (DMARC/SPF/DKIM), seguridad DNS, monitoreo continuo y protección de endpoints. Cuando los ataques de typosquatting logran comprometer a los usuarios, la Singularity Platform de SentinelOne proporciona IA conductual que detecta el robo de credenciales y la ejecución de malware con 88% menos ruido que soluciones competidoras, permitiendo una respuesta rápida a actividades maliciosas tras el compromiso basado en dominios.

Preguntas frecuentes

El typosquatting es un ciberataque basado en dominios donde los actores de amenazas registran nombres de dominio que se asemejan a sitios web legítimos aprovechando errores comunes de escritura. 

Los atacantes crean dominios con omisiones de caracteres (gogle.com), transposiciones (googel.com), errores de teclas adyacentes (googlr.com) o caracteres visualmente similares de otros alfabetos. Cuando los usuarios navegan accidentalmente a estos dominios, se encuentran con páginas de robo de credenciales, distribución de malware o contenido fraudulento diseñado para robar información sensible.

El typosquatting explota errores de escritura para redirigir a los usuarios a dominios controlados por atacantes, mientras que el phishing utiliza narrativas de ingeniería social para convencer a los usuarios de hacer clic en enlaces maliciosos. El typosquatting no requiere mensajes elaborados; los atacantes simplemente registran dominios similares y esperan tráfico desviado de forma orgánica. 

Ambos ataques suelen funcionar en conjunto, con dominios typosquatted que sirven como páginas de destino para campañas de phishing.

No. Los atacantes obtienen certificados SSL válidos para dominios typosquatted de autoridades certificadoras legítimas, mostrando iconos de candado de confianza en los navegadores. 

Las autoridades certificadoras solo verifican que el solicitante controle el dominio, no su legitimidad. HTTPS confirma la cifrado y el control del dominio, no que haya accedido a la organización deseada.

Según el Departamento de Salud y Servicios Humanos de EE. UU., los sectores de salud y finanzas se encuentran entre los más atacados por ingeniería social, incluido el typosquatting. 

Las plataformas SaaS y de webmail representan el sector más frecuentemente atacado por volumen. Los servicios financieros enfrentan un riesgo significativo por ataques de homógrafos IDN dirigidos a credenciales bancarias.

El registro defensivo reduce el riesgo pero no puede eliminarlo por completo. Un solo dominio genera cientos de variantes posibles entre sustituciones de caracteres, alternativas de TLD y combinaciones de combosquatting. 

Enfoque el registro defensivo en las variantes de mayor probabilidad: omisiones de un solo carácter, transposiciones comunes y alternativas críticas de TLD. Combine con filtrado DNS, autenticación de correo electrónico y protección de endpoints para una defensa en capas.

Las organizaciones deben responder de inmediato tras la identificación. Los dominios typosquatted se vuelven maliciosos en pocas horas tras su registro. Cuando los sistemas de monitoreo identifican nuevos dominios registrados que coinciden con sus patrones de nombres, analícelos rápidamente para detectar uso malicioso. 

Si se confirma que son maliciosos, implemente bloqueos DNS, filtros de proxy web y reglas en la pasarela de correo electrónico simultáneamente mientras presenta solicitudes de eliminación a los proveedores de hosting y registradores.

Descubre más sobre Ciberseguridad

HUMINT en ciberseguridad para líderes de seguridad empresarialCiberseguridad

HUMINT en ciberseguridad para líderes de seguridad empresarial

Los ataques HUMINT manipulan a los empleados para conceder acceso a la red, eludiendo por completo los controles técnicos. Aprenda a defenderse contra la ingeniería social y las amenazas internas.

Seguir leyendo
¿Qué es un programa de gestión de riesgos de proveedores?Ciberseguridad

¿Qué es un programa de gestión de riesgos de proveedores?

Un programa de gestión de riesgos de proveedores evalúa los riesgos de proveedores externos a lo largo del ciclo de vida empresarial. Conozca los componentes de VRM, la monitorización continua y las mejores prácticas.

Seguir leyendo
SOC 1 vs SOC 2: Diferencias entre marcos de cumplimiento explicadasCiberseguridad

SOC 1 vs SOC 2: Diferencias entre marcos de cumplimiento explicadas

SOC 1 evalúa los controles de informes financieros; SOC 2 evalúa la seguridad y la protección de datos. Aprenda cuándo solicitar cada tipo de informe y cómo evaluar el cumplimiento de los proveedores.

Seguir leyendo
Ciberseguridad para la fabricación: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad para la fabricación: riesgos, mejores prácticas y marcos de referencia

Descubra el papel fundamental de la ciberseguridad en la industria de la fabricación. Esta guía cubre los riesgos clave, marcos de protección y mejores prácticas para ayudar a los fabricantes a proteger los sistemas IT y OT, prevenir interrupciones y salvaguardar la propiedad intelectual en entornos industriales conectados.

Seguir leyendo
Experience the Most Advanced Cybersecurity Platform​ - Resource Center

Experimente la plataforma de ciberseguridad más avanzada

Descubra cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Comience hoy mismo
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español