El Phishing que tu Ojo No Ve: Ataques Homógrafos (y Cómo Detectarlos Antes de que Sea Tarde)

En el mundo digital, la seguridad no solo depende de firewalls o antivirus, sino de algo mucho más humano: la percepción visual. ¿Cómo saber si un dominio legítimo realmente lo es? ¿Qué pasa cuando la trampa es visualmente idéntica?

‍

Hoy hablamos de los Ataques Homógrafos , una técnica de phishing avanzada donde los atacantes registran dominios que parecen idénticos al original, pero están hechos con caracteres especiales o de otros alfabetos (como el cirílico o griego).

‍

¿Cómo Funciona el Engaño?

Un ataque homógrafo sustituye letras normales por caracteres visualmente idénticos:

• paypal.com → paypaΙ.com (la última “l” es una iota griega)
• amazon.com→аmazon.com(la ‘a’ inicial es cirílica)
• moddtech.com→moddtecһ.com(esa “h” es cirílica)

A simple vista son iguales, pero el dominio es completamente diferente.Estos ataques suelen llegar por:

• Correos electrónicos
• Mensajes de WhatsApp/Teams
• Anuncios en Google o Facebook Ads
• Códigos QR en cafeterías, posters o folletos
• Sitios clonados redirigiros desde campañas de smishing

Ejemplo Práctico 1: Robo de Credenciales MFA

Un empleado recibe un correo de “Microsoft” avisando que su MFA expirará.
El dominio parece correcto: microsоft-security.com
Pero la “o” es cirílica.
Al hacer clic:

• El usuario ingresa contraseña + MFA.
• El atacante lo captura en tiempo real.
• El acceso se usa para entrar a Teams, OneDrive o SharePoint.

Ejemplo Práctico 2: Página de Banco Falsa

El usuario busca su banco en Google: bаnorte.mx
La primera letra es falsa.
La página:

• Se ve idéntica
• Usa certificado SSL válido
• Y pide “verificación de token”

Resultado: robo de banca en minutos.

Ejemplo Práctico 3: Ataque a una Empresa con Dominio Clonado

Un proveedor envía una cotización mensual habitual. El correo llega desde: @miempresa.cоm (última “o” cirílica)
El PDF adjunto contiene malware tipo infostealer.
Un empleado lo abre y:

• Se roba contraseña de Outlook
• Se accede a archivos on-premise
• Se envían correos a todos los clientes desde la cuenta real

Consecuencias de Caer en un Ataque Homógrafo

Cuando un colaborador cae en este engaño, el daño puede ser severo:

1. Robo de credenciales y MFA
Se accede a correo, OneDrive, VPN o sistemas financieros.
2. Acceso a sistemas críticos
Se comprometen servidores, paneles de control o ERPs.
3. Robo financiero
Transferencias, retiros y compras no autorizadas.
4. Malware sigiloso
Keyloggers, info-stealers, ransomware.

‍

Cómo Lo Detectamos y Blindamos en Moddtech (con herramientas reales MSP)

‍
1. Checklist Rápido de Detección para Usuarios Finales
A) Revisar el dominio visualmente (con detenimiento)
✔Compara letra por letra.
✔Acércate a la pantalla (zoom).
Ejemplo:
microsоft.com → pasa el mouse para ver si aparece un dominio raro al hacer hover.

‍

B) Revisar el enlace completo
✔ En Outlook: coloca el mouse sobre el link sin hacer clic
✔ En móvil: mantener presionado y observar la URL

‍

C) Confirmar el candado, pero no confiar ciegamente
SSL NO significa seguridad.El atacante puede tener un dominio homógrafo con SSL válido.

‍

D) Navegador actualizado
Los navegadores modernos detectan varias variantes Unicode… pero no todas.

‍

E) Favoritos empresariales

Marca como favoritos en tu navegador:

• Office 365
• Bancos
• ERP
• Portales internos

Esto reduce el 80% de clics a URLs maliciosas.

‍

2. Protección Avanzada Para Empresas con las Herramientas que Usamos en Moddtech
A) Graphus  → Anti-phishing con IA

• dominios sospechosos
• URLs homógrafas
• solicitudes de credenciales
• comportamiento anómalo de remitentes

✔ Detecta si un dominio usa Unicode disfrazado
✔ Bloquea correos antes de llegar al usuario
✔ Advierte cuando un correo “parece” de alguien conocido pero no lo es

‍

En la práctica, Graphus detecta muchos correos de “proveedores” que usan dominios visualmente iguales pero no registrados en la relación histórica de comunicación.

‍

B) SaaS Alerts → Detección de actividad sospechosa
Detecta:

• Inicios de sesión desde ubicaciones inusuales
• MFA fallido
• Reglas maliciosas en Outlook
• Cambios extraños en SharePoint/OneDrive

Ejemplo real:
Un dominio homógrafo roba una contraseña y entra a O365 → SaaS Alerts envía alerta inmediata al equipo MSP.

‍

C) Datto EDR / AV → Bloqueo de páginas maliciosas
Datto EDR detecta:

• Redirects to newly created domains
• Unicode phishing patterns
• Downloads of malware hidden in cloned pages

Si el usuario hace clic, se bloquea automáticamente.

‍

D) Moddtech Essentials → Hardening y control continuo
Permite:

• Políticas anti-phishing
• Bloqueo de scripts ejecutados desde navegador
• Controles DNS
• Listas negras de Unicode
• Monitoreo continuo del navegador y plugins.

E) Filtros DNS + Firewall (Sonicwall, Sophos o Fortinet)
Configuramos filtros para bloquear:

• dominios Unicode
• dominios recién creados (<30 días)
• URLs categorizadas como “phishing”, “typo-squatting” o “homógrafos”

F) Capacitación Activa (BullPhish)
Entrenamos a tu personal para reconocer:

• Variaciones Unicode
• Correos falsos
• URLs sospechosas
• Adjuntos peligrosos

Con escenarios reales adaptados a cada área.

‍

Caso Real

Un cliente recibió un correo de “Microsoft Billing” con el dominio:
billing-microsоft.com (o cirílica)
El usuario hizo clic.
Graphus lo interceptó → lo mandó a Quarantine.
SaaS Alerts detectó intento de login desde Rusia.
Datto EDR bloqueó un payload descargado en segundo plano.
Resultado: el ataque nunca llegó a producir daño.

‍

Moddtech: Tu Aliado en Ciberseguridad (sin complicaciones)

Los ataques homógrafos son invisibles para el ojo humano, pero no para las herramientas correctas.
En Moddtech combinamos:

‍

Moddtech MSP Essentials

• Datto EDR
• Endpoint Backup
• Monitoreo continuo

Moddtech MSP CloudSecure

• Graphus
• BullPhish
• SaaS Alerts

Firewalls

• Sonicwall
• Sophos
• Fortinet

‍

…para proteger tu negocio incluso cuando los ataques son visualmente indetectables.

‍

¿Quieres blindar a tu empresa contra ataques?

‍
👉 Agenda una evaluación gratuita hoy mismo.

‍