🌐 Recientemente, Google autorizó la creación de 8 nuevos Dominios de Nivel Superior (Top Level Domain, en inglés); estos son: .dad, .phd , .prof, .nexus, .foo, .esq, .mov y .zip (del que hablamos en esta publicación).
🔗Con estos nuevos dominios, particularmente, con .mov y .zip, se genera cierta confusión, ya que ambos poseen nombres iguales a extensiones de archivos muy conocidas y utilizadas; en este caso, .mov asociada a archivos de videos y .zip asociada a archivos comprimidos.
⚠️Esto facilitaría el accionar de ciberdelincuentes para realizar ataques de ingeniería social, al confundir y persuadir a usuarios/as; convirtiéndolos así en víctimas de diversos métodos de phishing, al descargar un archivo malicioso y/o ingresar a un sitio web fraudulento, obviamente sin darse cuenta.
✅ Para prevenir este tipo de acciones delictivas, es fundamental considerar cómo funciona la ingeniería social y adoptar una mentalidad "Zero Trust", como herramientas esenciales.
¿Qué significa esto?
Los nuevos sitios web creados, a partir de ahora, pueden finalizar en .zip y/o .mov, entre otros.
Generando confusión, en los/as usuarios/as, al no poder diferenciar a simple vista si se trata de un archivo o de un sitio web.
- Ejemplo sitio web: https://ba-csirt.zip / ba-csirt.zip/archivo.zip
- Ejemplo archivo .zip (comprimido): ba-csirt.zip / ba-csirt.gob.ar/archivo.zip
¿Cuál sería el problema?
Estos cambios podrían ser utilizados, con fines maliciosos, para llevar adelante distintos tipos de ataques.
¿Qué recaudos podemos tomar?
-
Verificar siempre el remitente de las comunicaciones -que contengan archivos .zip- recibidas.
-
Utilizar herramientas para el análisis de archivos y sitios web.
-
Aplicar una metodología Zero Trust (“nunca confiar, siempre verificar”).
Es fundamental ser conscientes que las técnicas de ingeniería social se adaptan a estos nuevos cambios.
📌 𝗦𝗜 𝗧𝗘𝗡𝗘𝗦 𝗔𝗟𝗚𝗨𝗡𝗔 𝗗𝗨𝗗𝗔 𝗢 𝗖𝗢𝗡𝗦𝗨𝗟𝗧𝗔:
Escribinos a 📩 ciberseguridad@ba-csirt.gob.ar o por privado 💬 en nuestras redes