Los dos textos que tienes frente a ti: binance.com y binаnce.com, ¿puedes notar la diferencia? La а en el segundo es una letra cirílica, que es casi idéntica a la letra latina a. Este es un ataque de homógrafos (Homograph): uno de los trucos visuales más difíciles de prevenir. Este artículo te enseña cómo identificarlo y defenderte. Diariamente, fija tu entrada desde un acceso validado al Sitio oficial de Binance, para dispositivos móviles usa la App oficial de Binance, y si no tienes la aplicación en iOS, lee la Guía de instalación iOS.
I. El principio de los homógrafos
Los nombres de dominio internacionalizados (IDN) permiten que los dominios contengan caracteres que no sean ASCII. La intención original es permitir a los usuarios de chino/japonés/ruso registrar dominios en su idioma local. El problema es: muchos caracteres son visualmente idénticos a las letras inglesas, pero son caracteres diferentes en la codificación.
A nivel de dominio, el navegador convierte estos caracteres a Punycode:
binаnce.com(que contiene la а cirílica) es en realidadxn--binnce-b8a.comgoogĺe.com(con acento ĺ) es en realidadxn--googe-x9a.com
Pero de forma predeterminada, los navegadores los muestran en forma Unicode, por lo que el usuario todavía ve binаnce.com, exactamente igual que binance.com.
II. Las letras latinas que se reemplazan más fácilmente
La siguiente tabla muestra los reemplazos más comunes en los ataques de homógrafos:
| Carácter original | Carácter visualmente similar | Conjunto de codificación |
|---|---|---|
| a | а / α | Cirílico / Griego |
| e | е / ё | Cirílico |
| o | о / ο / 0 | Cirílico / Griego / Número |
| i | і / ί / l / 1 | Cirílico / Griego / L latina / Número 1 |
| c | с / ϲ | Cirílico / Griego |
| p | р / ρ | Cirílico / Griego |
| n | η / n | Griego / Ancho completo |
| b | Ь / b | Cirílico / Ancho completo |
Cada una de las letras en el dominio de Binance b/i/n/a/n/c/e tiene el potencial de ser reemplazada. En combinación, el número de variantes de phishing es asombroso.
III. Dos métodos para detectar homógrafos
Método A: Habilitar la visualización de Punycode en el navegador
Firefox es el más seguro. Ingresa about:config en la barra de direcciones, busca network.IDN_show_punycode y cámbialo a true. Tras configurar esto, todos los dominios que no sean ASCII se mostrarán en formato xn--, por lo que la anomalía se notará al instante.
Chrome no tiene una configuración nativa, pero cuando un dominio contiene caracteres latinos y no latinos al mismo tiempo, lo mostrará automáticamente como Punycode. Los "dominios puramente cirílicos" que usan caracteres no latinos se mostrarán tal cual, por lo que necesitarás extensiones de asistencia.
Método B: Copiar y pegar en un editor de texto
Copia la URL de la barra de direcciones y pégala en el Bloc de notas o en un editor de código (se recomienda VS Code) para mostrarla con otra fuente. La fuente monoespaciada de VS Code revelará pequeñas diferencias entre а y a. O usa directamente un complemento de visor hexadecimal, el punto de código Unicode de cada carácter será evidente.
Método C: Herramientas de asistencia visual
Coloca el puntero del mouse sobre el nombre de dominio y mira cada letra con cuidado:
- ¿Es perfecto el círculo de la a?
- ¿Es normal la posición de la línea horizontal en la e?
- ¿Es la o un círculo estándar?
- ¿Está el punto de la i en el medio?
Si alguna letra parece ligeramente desviada, mantente alerta.
IV. Refuerzo adicional a nivel del navegador
Extensiones de Chrome
- EnGuard (PhishFort): detecta automáticamente y advierte sobre homógrafos
- Punycode Alert: inserta un aviso de Punycode en la barra de direcciones
A nivel del sistema
- Pon en lista negra las variantes de phishing conocidas en el archivo hosts:
0.0.0.0 xn--binnce-b8a.com - Usa pasarelas DNS domésticas como Pi-hole para suscribirte a listas negras antiphishing
Administradores de contraseñas
1Password y Bitwarden solo muestran el autocompletado cuando el dominio coincide estrictamente. Si abres un dominio homógrafo, el administrador de contraseñas no responderá, lo cual es una "alarma de identificación" natural.
V. Particularidades en dispositivos móviles
La barra de direcciones del móvil es corta, los caracteres se muestran más pequeños y los homógrafos son más difíciles de detectar. Sugerencias:
- Usa la APP por completo, no ingreses el dominio en el navegador.
- Habilita "Mostrar URL completa" en el navegador.
- Cuando recibas un enlace, mantén presionado para obtener una vista previa de la URL de destino, no hagas clic directamente.
Mantener presionado un enlace en iOS Safari muestra una vista previa donde puedes ver la URL completa; en Android Chrome, puedes hacer lo mismo para previsualizar.
VI. Cuando ya has visitado un dominio homógrafo
Sigue este orden para actuar:
- Haz una captura de pantalla de la barra de direcciones inmediatamente y copia la URL completa como registro.
- Cierra la página y borra la cookie de ese dominio en el navegador.
- Verifica si has introducido alguna información en esa página; si es así, maneja el caso según el protocolo de emergencia de cuenta robada.
- Abre binance.com en un navegador limpio para verificar el estado de la cuenta.
- Envía esta URL a través del canal de reportes del centro de ayuda de Binance.
Preguntas Frecuentes
P1: ¿Por qué el navegador predetermina mostrar Unicode en lugar de Punycode? Para la comodidad de los usuarios de países que no hablan inglés. Si los nombres de dominio de los usuarios rusos siempre se mostraran en el formato xn--xxxx, la experiencia sería muy mala. Así que predetermina mostrar Unicode, pero las cadenas mixtas se cambiarán automáticamente a Punycode.
P2: ¿Se verán afectados los sitios web en idiomas distintos del inglés después de forzar Punycode en Firefox? Los sitios web normales en inglés no cambiarán en absoluto. Los nombres de dominio en chino, ruso, etc., se mostrarán en el formato xn--. Si no visitas estos dominios, no te afectará.
P3: ¿Puede el certificado HTTPS identificar homógrafos? Sí. El campo Subject del certificado es la cadena codificada real, que diferirá de lo que se ve a simple vista. Examinar los detalles del certificado puede revelar el engaño.
P4: ¿Se pueden sufrir ataques de homógrafos dentro de la APP? La APP no depende de la entrada de nombres de dominio; todas las conexiones van a los endpoints de API integrados en el código. Los homógrafos son básicamente ineficaces contra los usuarios de la APP.