Se ha escrito mucho sobre las 50 marcas más suplantadas utilizadas en ataques de phishing pero un factor que se puede utilizar para ayudar a evaluar la legitimidad del correo electrónico es su dominio de nivel superior (TLD), (sí, esa parte de la dirección de correo electrónico que viene después del punto).
Los TLDs
En 1971, Ray Tomlinson envió el primer correo electrónico en red a través de ARPANET, utilizando el carácter @ en la dirección. Cinco décadas después, el correo electrónico sigue siendo relevante, pero también es un punto de entrada clave para los atacantes.
El sistema de nombres de dominio, administrado por ICANN, abarca una variedad de TLD, desde el clásico ".com" (1985) hasta las opciones genéricas más nuevas. También existen los específicos de cada país (ccTLD), donde la Autoridad de Números Asignados de Internet (IANA) es responsable de determinar un administrador apropiado para cada ccTLD. Una expansión de ICANN en 2014 fue diseñada para "aumentar la competencia y las opciones en el espacio de nombres de dominio", introduciendo numerosas opciones nuevas para fines profesionales, comerciales e informativos específicos, lo que a su vez también abrió nuevas posibilidades para intentos de phishing.
Uso dañinos
En este análisis, nos centramos en los TLD responsables de una proporción significativa de correos electrónicos maliciosos o spam desde enero de 2023. Para los fines de esta publicación, consideramos que los mensajes de correo electrónico maliciosos equivalen a intentos de phishing. El objetivo es identificar tendencias e indicar qué TLD se han vuelto más dudosos con el tiempo.
La información derivada de este análisis podría servir como guía para los usuarios y empresas para bloquear dominios y correos electrónico dañinos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) señala que el 90% de los ataques cibernéticos comienzan con phishing y falsificaciones. La confianza es un componente clave del éxito de los ataques maliciosos. Vemos que hay dos formas de autenticidad que los atacantes pueden aprovechar al crear mensajes de phishing: visual y organizacional.
Los ataques que aprovechan la autenticidad visual dependen de que los atacantes utilicen elementos de marca, como logotipos o imágenes, para generar credibilidad. Las campañas organizacionalmente auténticas dependen de que los atacantes utilicen relaciones y dinámicas comerciales previamente establecidas para generar confianza y tener éxito.
Los hallazgos de CloudFlare de 2023 revelan que los TLD genéricos (gTLD) introducidos recientemente se utilizan predominantemente tanto para spam como para ataques maliciosos. Estos TLD, como ".uno", ".sbs" y ".beauty", todos introducidos desde 2014, se han visto en el 95% de los correos electrónicos marcados como spam o maliciosos. Además, es importante tener en cuenta que, en términos de volumen, ".com" representa el 67% de todo el spam y los correos electrónicos maliciosos.
Principales TLD de spam y phishing
El análisis cubre correos electrónicos no deseados considerados spam y maliciosos de más de 350 TLD diferentes (y sí, hay muchos más).
Los TLD más nuevos, generalmente disponibles desde 2021, tienen las tasas más. Los correos electrónicos maliciosos a menudo provienen de TLD genéricos creados recientemente como ".bar", ".makeup" o ".cyou", así como de ciertos TLD de código de país (ccTLD) empleados más allá de sus implicaciones geográficas (por ejemplo, ".nl" de Netherlands).
Centrándonos en la participación en el volumen, ".com" domina la lista de spam + malware con un 67%, y en el top 3 se le unen otros gTLD "classic" y ".net", con un 4%. Todos los TLD genéricos introducidos desde 2014 representan el 13,4% del spam y los correos electrónicos maliciosos y más del 14% de los correos únicamente maliciosos. Mientras tanto, los TLD de código de país contribuyen a más del 12% de ambas categorías de correos electrónicos no deseados.
Dicho esto, ".shop" merece un punto destacado propio. Este TLD, que ha estado disponible desde 2016, ocupa el segundo lugar en volumen de spam y correos electrónicos maliciosos, y representa el 5% de todos esos correos.
Para obtener una perspectiva más detallada, a continuación presentamos los 50 TLD principales con los porcentajes más altos de spam y correos electrónicos maliciosos durante 2023.
Es notable que incluso fuera del top 10, otros TLD genéricos recientes también están más arriba en el ranking, como ".autos" (el número 1 en la lista de spam), ".today", ".bid" o ".cam". Los TLD que parecen prometer entretenimiento o diversión o simplemente están relacionados con el ocio o la recreación (incluido el propio ".fun"), ocupan una posición en el ranking de los 50 principales.
2023 Top 50 spam & malicious TLDs (by highest %) |
||||
Rank |
TLD |
Spam % |
Malicious % |
Spam + malicious % |
1 |
.uno |
62% |
37% |
99% |
2 |
.sbs |
64% |
35% |
98% |
3 |
.best |
68% |
29% |
97% |
4 |
.beauty |
77% |
20% |
97% |
5 |
.top |
74% |
23% |
97% |
6 |
.hair |
78% |
18% |
97% |
7 |
.monster |
80% |
17% |
96% |
8 |
.cyou |
34% |
62% |
96% |
9 |
.wiki |
69% |
26% |
95% |
10 |
.makeup |
32% |
63% |
95% |
11 |
.autos |
93% |
2% |
95% |
12 |
.today |
92% |
3% |
94% |
13 |
.shop |
78% |
16% |
94% |
14 |
.bid |
74% |
18% |
92% |
15 |
.cam |
67% |
25% |
92% |
16 |
.directory |
91% |
0% |
91% |
17 |
.icu |
75% |
15% |
91% |
18 |
.ml |
33% |
56% |
89% |
19 |
.lol |
79% |
10% |
89% |
20 |
.skin |
49% |
39% |
88% |
21 |
.boats |
87% |
1% |
88% |
22 |
.tattoo |
34% |
54% |
87% |
23 |
.click |
61% |
27% |
87% |
24 |
.ltd |
70% |
17% |
86% |
25 |
.rest |
74% |
11% |
86% |
26 |
.center |
85% |
0% |
85% |
27 |
.fun |
64% |
21% |
85% |
28 |
.cfd |
39% |
46% |
84% |
29 |
.bar |
14% |
70% |
84% |
30 |
.bio |
72% |
11% |
84% |
31 |
.tk |
66% |
17% |
83% |
32 |
.yachts |
58% |
23% |
81% |
33 |
.one |
63% |
17% |
80% |
34 |
.ink |
68% |
10% |
78% |
35 |
.wf |
76% |
1% |
77% |
36 |
.no |
76% |
0% |
76% |
37 |
.pw |
39% |
37% |
75% |
38 |
.site |
42% |
31% |
73% |
39 |
.life |
56% |
16% |
72% |
40 |
.homes |
62% |
10% |
72% |
41 |
.services |
67% |
2% |
69% |
42 |
.mom |
63% |
5% |
68% |
43 |
.ir |
37% |
29% |
65% |
44 |
.world |
43% |
21% |
65% |
45 |
.lat |
40% |
24% |
64% |
46 |
.xyz |
46% |
18% |
63% |
47 |
.ee |
62% |
1% |
62% |
48 |
.live |
36% |
26% |
62% |
49 |
.pics |
44% |
16% |
60% |
50 |
.mobi |
41% |
19% |
60% |
De las clasificaciones, queda claro que los TLD genéricos recientes tienen el porcentaje más alto de spam y phishing. Los 10 principales TLD en ambas mitades de 2023 son todos recientes y genéricos, y varios se introdujeron desde 2021.
Algunos gTLD permiten el registro anónimo y, su bajo costo y la demora en la actualización de los sistemas de seguridad para reconocer los nuevos gTLD como spam y fuentes maliciosas también influyen.
También ha habido un cambio en los tipos de dominios con el mayor porcentaje maliciosos en 2023, posiblemente debido a la demanda de Meta contra Freenom, presentada en diciembre de 2022 y presentada de nuevo en marzo de 2023. Freenom proporcionó servicios de registro de nombres de dominio de forma gratuita en cinco ccTLD, lo que se utiliza para fines que van más allá de las empresas o el contenido local: ".cf" (República Centroafricana), ".ga" (Gabón), ".gq" (Guinea Ecuatorial), ".ml" (Malí) y ".tk" (Tokelau). Freenom detuvo nuevos registros durante 2023 luego de la demanda y, en febrero de 2024, anunció su decisión de abandonar el negocio de nombres de dominio.
En el ámbito de los TLD de código de país, el ".no" de Noruega lidera el spam, seguido por el ".cn" de China, el ".ru" de Rusia, el ".ua" de Ucrania y el ".ai" de Anguila, que se ha utilizado recientemente. más para dominios relacionados con la inteligencia artificial que para el propio país. La lista maliciosa también incluye algunos TLD de código de país (ccTLD) que no se utilizan principalmente para temas relacionados con países, como ".ml" (Malí), ".om" (Omán) y ".pw" (Palau), ".ir" (Irán) y ".kg" (Kirguistán), ".lk" (Sri Lanka).
En 2024, nuevos jugadores ingresaron a la zona de alto riesgo de correos electrónicos no deseados. Los nuevos participantes incluyen ".ws" de Samoa, ".id" de Indonesia (también utilizado debido a su significado de "identificación") y ".cc" de las Islas Cocos. Estos ccTLD, que a menudo se utilizan para algo más que fines relacionados con el país, han mostrado altos porcentajes de correos electrónicos maliciosos, que van del 20% (.cc) al 95% (.ws) de todos los correos electrónicos.
Se puede utilizar esta herramienta y lista (y esta más pequeña) para bloquear los TLDs mencionados en el presente artículo.
Fuente: CloudFlare