Servicios
Contáctanos
esen
SERVICESCIBERSEGURIDADMODDTECH MSPRENTA DE INTERNET STARLINKTIENDANUESTRO TRABAJOCONSULTA GRATUITA¿QUIÉNES SOMOS?NOTICIASEMPLEOSCONTACT
arrow
category 1
IT

El Phishing que tu Ojo No Ve: Ataques Homógrafos (y Cómo Detectarlos Antes de que Sea Tarde)

En el mundo digital, la seguridad no solo depende de firewalls o antivirus, sino de algo mucho más humano: la percepción visual. ¿Cómo saber si un dominio legítimo realmente lo es? ¿Qué pasa cuando la trampa es visualmente idéntica?

Hoy hablamos de los Ataques Homógrafos , una técnica de phishing avanzada donde los atacantes registran dominios que parecen idénticos al original, pero están hechos con caracteres especiales o de otros alfabetos (como el cirílico o griego).

¿Cómo Funciona el Engaño?

Un ataque homógrafo sustituye letras normales por caracteres visualmente idénticos:

  • paypal.com → paypaΙ.com (la última “l” es una iota griega)
  • amazon.com→аmazon.com(la ‘a’ inicial es cirílica)
  • moddtech.com→moddtecһ.com(esa “h” es cirílica)

A simple vista son iguales, pero el dominio es completamente diferente.Estos ataques suelen llegar por:

  • Correos electrónicos
  • Mensajes de WhatsApp/Teams
  • Anuncios en Google o Facebook Ads
  • Códigos QR en cafeterías, posters o folletos
  • Sitios clonados redirigiros desde campañas de smishing

Ejemplo Práctico 1: Robo de Credenciales MFA

Un empleado recibe un correo de “Microsoft” avisando que su MFA expirará.
El dominio parece correcto: microsоft-security.com
Pero la “o” es cirílica.
Al hacer clic:

  • El usuario ingresa contraseña + MFA.
  • El atacante lo captura en tiempo real.
  • El acceso se usa para entrar a Teams, OneDrive o SharePoint.

Ejemplo Práctico 2: Página de Banco Falsa

El usuario busca su banco en Google: bаnorte.mx
La primera letra es falsa.
La página:

  • Se ve idéntica
  • Usa certificado SSL válido
  • Y pide “verificación de token”

Resultado: robo de banca en minutos.

Ejemplo Práctico 3: Ataque a una Empresa con Dominio Clonado

Un proveedor envía una cotización mensual habitual. El correo llega desde: @miempresa.cоm (última “o” cirílica)
El PDF adjunto contiene malware tipo infostealer.
Un empleado lo abre y:

  • Se roba contraseña de Outlook
  • Se accede a archivos on-premise
  • Se envían correos a todos los clientes desde la cuenta real

Consecuencias de Caer en un Ataque Homógrafo

Cuando un colaborador cae en este engaño, el daño puede ser severo:

1. Robo de credenciales y MFA
Se accede a correo, OneDrive, VPN o sistemas financieros.
2. Acceso a sistemas críticos
Se comprometen servidores, paneles de control o ERPs.
3. Robo financiero
Transferencias, retiros y compras no autorizadas.
4. Malware sigiloso
Keyloggers, info-stealers, ransomware.

Cómo Lo Detectamos y Blindamos en Moddtech (con herramientas reales MSP)


1. Checklist Rápido de Detección para Usuarios Finales
A) Revisar el dominio visualmente (con detenimiento)
✔Compara letra por letra.
✔Acércate a la pantalla (zoom).
Ejemplo:
microsоft.com → pasa el mouse para ver si aparece un dominio raro al hacer hover.

B) Revisar el enlace completo
En Outlook: coloca el mouse sobre el link sin hacer clic
En móvil: mantener presionado y observar la URL

C) Confirmar el candado, pero no confiar ciegamente
SSL NO significa seguridad.El atacante puede tener un dominio homógrafo con SSL válido.

D) Navegador actualizado
Los navegadores modernos detectan varias variantes Unicode… pero no todas.

E) Favoritos empresariales

Marca como favoritos en tu navegador:

  • Office 365
  • Bancos
  • ERP
  • Portales internos

Esto reduce el 80% de clics a URLs maliciosas.

2. Protección Avanzada Para Empresas con las Herramientas que Usamos en Moddtech
A) Graphus  → Anti-phishing con IA

  • dominios sospechosos
  • URLs homógrafas
  • solicitudes de credenciales
  • comportamiento anómalo de remitentes

✔ Detecta si un dominio usa Unicode disfrazado
✔ Bloquea correos antes de llegar al usuario
✔ Advierte cuando un correo “parece” de alguien conocido pero no lo es

En la práctica, Graphus detecta muchos correos de “proveedores” que usan dominios visualmente iguales pero no registrados en la relación histórica de comunicación.

B) SaaS Alerts → Detección de actividad sospechosa
Detecta:

  • Inicios de sesión desde ubicaciones inusuales
  • MFA fallido
  • Reglas maliciosas en Outlook
  • Cambios extraños en SharePoint/OneDrive

Ejemplo real:
Un dominio homógrafo roba una contraseña y entra a O365 → SaaS Alerts envía alerta inmediata al equipo MSP.

C) Datto EDR / AV → Bloqueo de páginas maliciosas
Datto EDR detecta:

  • Redirects to newly created domains
  • Unicode phishing patterns
  • Downloads of malware hidden in cloned pages

Si el usuario hace clic, se bloquea automáticamente.

D) Moddtech Essentials → Hardening y control continuo
Permite:

  • Políticas anti-phishing
  • Bloqueo de scripts ejecutados desde navegador
  • Controles DNS
  • Listas negras de Unicode
  • Monitoreo continuo del navegador y plugins.

E) Filtros DNS + Firewall (Sonicwall, Sophos o Fortinet)
Configuramos filtros para bloquear:

  • dominios Unicode
  • dominios recién creados (<30 días)
  • URLs categorizadas como “phishing”, “typo-squatting” o “homógrafos”

F) Capacitación Activa (BullPhish)
Entrenamos a tu personal para reconocer:

  • Variaciones Unicode
  • Correos falsos
  • URLs sospechosas
  • Adjuntos peligrosos

Con escenarios reales adaptados a cada área.

Caso Real

Un cliente recibió un correo de “Microsoft Billing” con el dominio:
billing-microsоft.com (o cirílica)
El usuario hizo clic.
Graphus lo interceptó → lo mandó a Quarantine.
SaaS Alerts detectó intento de login desde Rusia.
Datto EDR bloqueó un payload descargado en segundo plano.
Resultado: el ataque nunca llegó a producir daño.

Moddtech: Tu Aliado en Ciberseguridad (sin complicaciones)

Los ataques homógrafos son invisibles para el ojo humano, pero no para las herramientas correctas.
En Moddtech combinamos:

Moddtech MSP Essentials

  • Datto EDR
  • Endpoint Backup
  • Monitoreo continuo

Moddtech MSP CloudSecure

  • Graphus
  • BullPhish
  • SaaS Alerts

Firewalls

  • Sonicwall
  • Sophos
  • Fortinet

…para proteger tu negocio incluso cuando los ataques son visualmente indetectables.

¿Quieres blindar a tu empresa contra ataques?


👉 Agenda una evaluación gratuita hoy mismo.

Programe una consultaContáctanos
Contact
Comparte este artículo:
TRABAJEMOS JUNTOS
PÓNGASE EN CONTACTO
Síguenos
MODDTECH MSP
CONSULTATION
NEWS
STARLINK RENTALS
CONTACT
FAQ
Hermosillo MX
+52 (662) 268-5784
Portland OR
+1 (503) 388-9876
Política de privacidad
Política de cookies
Moddtech
© año en curso Moddtech. Todos los derechos reservados.