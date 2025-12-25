Tan solo una letra puede desatar una crisis de confianza empresarial, ya que es poco probable que las víctimas vuelvan a buscar esa compañía en el futuro, por temor a volver a ser estafados. Foto: Getty Images

Gracias a la digitalización, muchos procesos hoy se pueden hacer por internet: pagar impuestos, comprar ropa, reservar tiquetes aéreos, realizar trámites bancarios, pagar servicios públicos… la lista es interminable.

El problema es que se han vuelto más comunes los casos de personas que denuncian haber sido engañadas al intentar hacer cualquiera de estos trámites.

Imagine, por ejemplo, que va viajar a una ciudad costera para pasar vacaciones. Usted busca el nombre de la aerolínea en Google (o cualquier otro buscador), ingresa a la página, selecciona las fechas de viaje, realiza el pago y, pasados algunos minutos no le llega ningún comprobante de pago o un documento con la información de su reserva.

Preocupado se comunica con la aerolínea, informa lo sucedido y es allí cuando cae en la cuenta de que hizo el proceso con una página fraudulenta. Semanas atrás los ciberdelincuentes recrearon casi que con exactitud ese portal para robar el dinero de sus víctimas.

Muchos de estos ataques son tan sofisticados que no solo imitan con un alto grado de detalle la navegación y experiencia de las páginas originales, sino también sus dominios web. A esto último se le conoce como ataques homográficos, es decir, estafas en las que los delincuentes usan direcciones web casi idénticas a las originales para engañar a los usuarios y robar información o dinero.

Muchos se valen de caracteres especiales para esto. Por ejemplo pueden usar una letra i con diéresis (esta ï, es decir, con dos puntos en lugar de uno), para “gemelear” la página web. Por ejemplo la original es www.aerolineaexpres.com y en su lugar ponen www.aerolïneaexpres.com.

Tan solo una letra puede desatar una crisis de confianza empresarial, ya que es poco probable que las víctimas vuelvan a buscar esa compañía en el futuro, por temor a volver a ser estafados.

Según un reporte de la empresa de registro de dominios, Mi.com.co, la suplantación digital basada en nombres de dominio se ha consolidado como una de las amenazas más costosas y menos visibles para las empresas, gobiernos y ciudadanos.

“Solo en 2024, el Centro de Quejas de Delitos en Internet del FBI registró pérdidas récord por más de US$16.600 millones asociadas a delitos en línea, un aumento del 33% frente al año anterior, con el phishing y el compromiso de correo corporativo (BEC) entre las modalidades más frecuentes”, señala al detallar que, en la última década, este tipo de fraudes ha implicado más de USD 55.000 millones.

Como lo explica esta compañía, un dominio ya no es solo una dirección web, sino la puerta de entrada a la identidad digital de una marca, su credencial de confianza y uno de sus activos más vulnerables.

“En la era digital actual, un dominio es mucho más que una dirección web: es la identidad, la reputación y la garantía de confianza de una marca. Protegerlo no es un lujo, es una necesidad estratégica. Desde Mi.com.co ayudamos a las empresas pequeñas, medianas y grandes a blindar sus dominios y sus variaciones, porque lo que hoy parece una pequeña letra o un carácter de más, mañana puede convertirse en una crisis de reputación, seguridad y confianza”, señaló Gerardo Aristizabal, vocero de Mi.com.co.

Este tipo de ataques también se presentan en correos electrónicos. Este año, entidades judiciales alertaron sobre citaciones falsas enviadas desde dominios casi idénticos a los oficiales, generando exposición de datos y estafas en Bogotá y otras ciudades.

El Catastro de Bogotá enfrentó una ola de fraudes digitales mediante correos provenientes de dominios apócrifos (que imitan a otros) con los que exigían pagos inexistentes. En los sectores de telecomunicaciones y servicios públicos, los usuarios denunciaron portales clonados que replicaban facturas legítimas para inducir a transferencias fraudulentas. Incluso empresas privadas fueron suplantadas en ofertas laborales falsas difundidas por WhatsApp, respaldadas por dominios creados en cuestión de minutos desde plataformas internacionales.

Este problema cobra un especial protagonismo si se tiene en cuenta que cualquier persona, desde cualquier país, puede registrar un dominio en segundos, sin que para esto deba mostrar algún vínculo con la marca a la que hace referencia.

“A nivel global se crean más de 350.000 dominios nuevos al día, lo que genera un terreno fértil para que actores maliciosos aseguren variaciones de marcas reconocidas antes de que las empresas puedan protegerlas. Este riesgo se ve amplificado por el uso generalizado de inteligencia artificial, que permite analizar millones de combinaciones para identificar dominios capaces de inducir a error y facilitar la suplantación, mientras que el 79% de las grandes organizaciones admite haber sido víctima de este tipo de ataques en los últimos dos años y el 62% reconoce no contar con protocolos sólidos para blindar su identidad digital”, concluye la compañía.

No caiga en la trampa

La siguiente es una lista de recomendaciones que dan diversos expertos en seguridad informática para evitar morder el anzuelo de los atacantes:

Revise siempre con cuidado la dirección web: verifique que se encuentre bien escrita, sospeche si se indica otro nombre o se emplean caracteres extraños

Desconfíe de enlaces en correos o mensajes: ingrese a los portales por su propia cuenta, muchas veces la puerta de entrada a estos sitios falsos proviene de direcciones que llegan en mensajes y correos.

Guarde en favoritos las páginas oficiales: muchas veces, incluso buscando la página desde Google, se puede entrar a uno de estos sitios fraudulentos. Los delincuentes suelen pagar para que el buscador los ponga entre los principales resultados, lo que aumenta las posibilidades de morder su anzuelo. Una buena práctica es guardar ese sitio, cuando se tiene la certeza de que es el legítimo.

Compruebe el certificado de seguridad: no basta solo con asegurarse de que la URL tiene el típico candado. Ingrese al menú de opciones de esa dirección, seleccione “la conexión es segura”, luego “el certificado es válido” y, finalmente, compruebe que este corresponda con el nombre de la empresa.

Active la autenticación de dos pasos: incluso si su información bancaria es comprometida, el que usted tenga que confirmar una transacción con un código que llega a su correo o SMS, impedirá que los atacantes roben su dinero.

