MENÚ

Qué es el ‘cloaking’ y cómo los timadores usan esta técnica para ocultar la URL de sitios web fraudulentos

Publicado
Claves
Si sólo tienes unos segundos, lee estas líneas:
  • El cloaking permite que un mismo enlace muestre un contenido diferente dependiendo de si quien accede es un motor de búsqueda o un usuario, y de su IP o ubicación.
  • Los ciberdelincuentes pueden utilizar esta estrategia para mostrar contenido fraudulento a los usuarios sin que sea detectado por buscadores o plataformas.
  • Para protegerse de este engaño hay que evitar ingresar en enlaces de mensajes muy llamativos o en ofertas demasiado buenas para ser ciertas.
Comparte

¿Alguna vez has hecho clic en un enlace que parecía seguro y al entrar te has encontrado con una página web sospechosa? Es posible que los ciberdelincuentes estuvieran utilizando la técnica de cloaking (o “encubrimiento”, en español) para redirigirte a un sitio web fraudulento. Gracias a esta técnica, los estafadores pueden mostrar contenidos diferentes a los buscadores o navegadores de internet y a los usuarios. Te contamos cómo funciona y cómo aplican esta estrategia para engañarnos y mostrarnos contenido malicioso.

Los ciberdelincuentes pueden aplicar esta técnica para ocultar páginas web maliciosas

El cloaking es una técnica de “ocultación u ofuscación”, señaló Carlos Tomás Moro, experto en ciberseguridad a Maldita.es, medio cofundador de Factchequeado. 

Matt Cutts, quien trabajó como ingeniero de software y fue jefe del equipo de spam web de Google, explicó en un video de Google de 2011 que “cloaking consiste esencialmente en mostrar un contenido distinto a los usuarios y a Googlebot”, nombre genérico de los rastreadores web de Google que se utilizan para “encontrar y analizar automáticamente sitios web siguiendo enlaces entre páginas web”. Esta técnica tiene muchos usos (también legítimos), pero los ciberdelincuentes la pueden utilizar para encubrir páginas web fraudulentas y disfrazar sus enlaces.

Podemos ver un ejemplo de ello en este tuit de Will Dormann, analista de vulnerabilidades de software. Twitter (ahora X) muestra al usuario la previsualización del enlace de una página web indicando que se trata de la revista Forbes. Sin embargo, cuando el usuario hace clic, le redirigen a un chat de Telegram de supuestas inversiones en criptomonedas (algo de lo que ya hemos advertido desde Factchequeado).

Capturas publicadas por el usuario Will Dormann

¿Cómo es esto posible? Moro explica que, en función de quién esté accediendo al enlace, se le redirige a un contenido o a otro. Es decir, si se detecta que quien accede es la “máquina” de X, se le muestra la página web de Forbes. Pero si se detecta que quien ha pinchado en el enlace es un usuario desde un navegador, se le redirige a un chat fraudulento de Telegram.

Esta técnica se suele utilizar para manipular los resultados en los motores de búsqueda

Santiago Casteleiro, informático experto en técnicas de hacking indicó a Maldita.es que esta técnica se suele utilizar en el ámbito de la optimización de buscadores (SEO, por sus siglas en inglés) al mostrar un contenido diferente a los buscadores de internet y a los usuarios. “Los motores de búsqueda (o buscadores) indexan la versión optimizada para SEO de la página, mientras que los usuarios ven una versión diferente”, explica. De hecho, los navegadores, como Google, penalizan el uso de esta técnica.

Según el experto, se puede aplicar con el objetivo de “manipular los resultados de búsqueda, llevar a cabo ataques de phishing, distribuir malware o engañar a los usuarios para que realicen acciones no deseadas, como proporcionar información personal o financiera”.

Por ejemplo, en Maldita.es explicaron cómo se estaba suplantando a Ryanair, una aerolínea irlandesa de bajo costo que ofrece vuelos en países de Europa, a través de Google Ads. Al buscar el teléfono de la aerolínea en el buscador de Google, aparecía un anuncio patrocinado que enlazaba a una página web con un número falso de atención al cliente. 

Búsqueda que realizó el usuario en Google

A pesar de que en la descripción del anuncio aparecía la URL oficial (https://www.ryanair.com), cuando se hacía clic en el enlace se redirigía al usuario a la página web fraudulenta (starfish-app-uwsjo.ondigitalocean.app). De hecho, las políticas publicitarias de Google prohíben expresamente anuncios que utilizan la técnica de cloaking para ocultar el verdadero destino al que se dirige a los usuarios.

Álex Corcoles, especialista en informática, explicó a Maldita.es otros usos engañosos de esta técnica: “Se pueden manipular los filtros que usan los navegadores para avisarnos antes de entrar a páginas inseguras. Se le enseña contenido inofensivo a esos filtros, mientras que a los usuarios se les muestra el contenido dañino”.

Ahora bien, tal y como apunta Moro, esta técnica también puede tener finalidades legítimas. Por ejemplo, ocultar los datos reales de los implicados en una sentencia judicial o el network cloaking, que consiste en ocultar activos en la red que puedan ser atractivos para atacantes.

El contenido que se le muestra al usuario depende de cómo ha sido identificado

Según los expertos consultados por Maldita.es, la página web que se le muestra al usuario puede depender de factores identificativos como la ubicación geográfica, la dirección IP, el dispositivo utilizado o el navegador, entre otros. El servidor determinará qué página web mostrará al usuario dependiendo de esos identificadores que se han predefinido. 

Los ciberdelincuentes podrían utilizar estos factores para segmentar sus campañas maliciosas. “Pueden escoger que el usuario que acceda lo haga desde el móvil para que, al pinchar el enlace, le salte la aplicación de Telegram y la opción de unirse a un chat. También se puede segmentar por idioma, por país, por el tipo de navegador…”, afirma Moro. El especialista destaca que el cibercrimen funciona como una industria y que los ciberdelincuentes incluso podrían contratar a profesionales que organizan este tipo de campañas maliciosas usando técnicas de cloaking.

Para evitar este engaño, el experto recomienda no hacer clic en enlaces de mensajes muy llamativos o en ofertas demasiado buenas para ser ciertas. “Lo único en lo que podemos trabajar es en el sentido crítico. Debemos pensar si esa información nos parece sospechosa antes de hacer clic y entrar en la página web”, afirma.

Factchequeado es un medio de verificación que construye una comunidad hispanohablante para contrarrestar la desinformación en Estados Unidos. ¿Quieres ser parte? Súmate y verifica los contenidos que recibes enviándolos a nuestro WhatsApp +16468736087 o a factchequeado.com/whatsapp.

Lee también:

Cómo detectar tú mismo si estás siendo víctima de una ciberestafa ('phishing')

¿Nos pueden robar nuestros datos sólo con hacer click en un enlace de 'phishing'? Depende de si se ha descargado 'malware' en el dispositivo y este se ejecuta

Cómo prevenir a los niños y adolescentes sobre el ‘phishing’ y otros fraudes online

Republica nuestro contenido

Puedes republicar tu contenido en tu sitio de forma gratuita respetando nuestra licencia e insertando este código en la página donde lo republiques. Contacta con nosotros en [email protected]