Los especialistas en ciberseguridad han identificado una nueva y sofisticada técnica de phishing que aprovecha las características visuales del carácter japonés «ん» del sistema de escritura hiragana. Esta innovadora metodología permite a los atacantes crear URLs fraudulentas que resultan prácticamente indistinguibles de los dominios legítimos de empresas reconocidas, representando una evolución significativa en las tácticas de ingeniería social.
Funcionamiento de los Ataques Omográficos con Unicode
Esta amenaza emergente pertenece a la categoría de ataques omográficos, una técnica que explota los omóglifos: caracteres gráficamente idénticos o similares pero con valores de codificación diferentes. Los ciberdelincuentes utilizan específicamente el símbolo «ん» (Unicode U+3093) de la escritura japonesa hiragana, que en determinadas tipografías puede visualizarse como la combinación «/n» o «/~».
El investigador de seguridad informática JAMESWT fue el primero en alertar a la comunidad profesional sobre esta vulnerabilidad, compartiendo en la red social X ejemplos concretos del abuso de este carácter. La similitud visual permite a los estafadores construir URLs falsificadas que los usuarios perciben como completamente auténticas.
Casos Documentados de Implementación
Durante el análisis de la campaña detectada, los expertos descubrieron una imitación de correspondencia oficial del popular servicio de reservas Booking.com. Los atacantes fabricaron un correo electrónico fraudulento que contenía un enlace aparentemente legítimo: https://admin.booking.com/hotel/hoteladmin/, pero que en realidad redirigía a las víctimas hacia el sitio malicioso https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/.
Al mostrarse en la barra de direcciones del navegador, los caracteres «ん» generan una convincente ilusión de permanencia en el dominio oficial de booking.com, cuando el verdadero dominio de destino es www-account-booking.com. El contenido restante de la URL constituye un subdominio meticulosamente diseñado para decepcionar a los usuarios.
Proceso Técnico de Compromiso
Una vez que las víctimas acceden al enlace de phishing, son dirigidas a la página www-account-booking.com/c.php?a=0, donde a través de una red de distribución de contenido (CDN) se inicia la descarga de un instalador MSI malicioso. Este archivo actúa como vector de ataque inicial para el despliegue posterior de componentes maliciosos adicionales, incluyendo stealers de información y herramientas de administración remota.
Expansión Geográfica de las Campañas
Tácticas similares han sido documentadas en ataques dirigidos a usuarios de la plataforma financiera Intuit. En estos casos, los ciberdelincuentes sustituyen la letra «I» inicial del nombre de dominio por «L», creando dominios como «Lntuit.com» que, utilizando ciertas tipografías, resultan virtualmente indistinguibles del original «Intuit.com».
Estrategias de Protección y Contramedidas
Los expertos en seguridad cibernética recomiendan encarecidamente la implementación de medidas preventivas por parte de los usuarios. Posicionar el cursor del mouse sobre los enlaces antes de hacer clic permite visualizar previamente la URL de destino en una ventana emergente o en la barra de estado del navegador.
Adicionalmente, es fundamental examinar cuidadosamente los nombres de dominio en la barra de direcciones, prestando especial atención a caracteres inusuales o combinaciones sospechosas de letras. No obstante, es importante reconocer que los ataques que emplean símbolos Unicode especiales pueden complicar considerablemente el proceso de identificación de recursos falsificados.
La evolución de los ataques omográficos mediante la incorporación de caracteres de diferentes sistemas de escritura demuestra la constante innovación en los métodos de ingeniería social del ciberespacio. El fortalecimiento de la conciencia de seguridad entre los usuarios y la implementación de soluciones técnicas de protección avanzadas se consolidan como elementos críticos en las estrategias contemporáneas de ciberseguridad empresarial y personal.
