A finales de 2016 les hablábamos del caso del imitador de Google.com, un sitio que gracias al uso de caracteres Unicode utilizaba una letra muy parecida a la "G" mayúscula para hacer pasar su dominio por el del gigante de las búsquedas. ɢoogle.com parece muy normal, pero no lo es.

Esto es conocido como un ataque homográfico, una forma maliciosa de engañar al usuario aprovechándose del hecho de algunos caracteres lucen muy parecidos. Pero esta vez una nueva variación de este tipo de amenaza ha sido descubierta, una que es imposible de detectar porque los caracteres lucen exactamente iguales, y a la que navegadores como Chrome, Firefox y Opera son vulnerables.

El código púny

Para evitar confusiones, cuando se decidió que se podrían usar caracteres Unicode en los nombres de dominio, también se decidió que se utilizaría algo llamado Punycode en su lugar. Por defecto, un navegador debería ser capaz de leer una URL en Punycode y transformarla a caracteres Unicode, pero esto obviamente deja al navegador susceptible de ser víctima de un ataque de phishing disfrazado de dirección web legítima.

Por ejemplo, si alguien registra xn-pple-43d.com la dirección sería el equivalente de apple.com deletreada con una "а" del alfabeto cirílico.

La solución de los navegadores para evitar la confusión es mostrar las URLs en Punycode o código púny en lugar de Unicode si la dirección contiene caracteres de diferentes idiomas, como cirílico y latín. Esto identificaría las URLs como intentos de phishing. Pero las URLs en …