Hard2bit
← Volver al blog

Escaneamos 24 marcas conocidas buscando typosquatting: 591 dominios vivos (y con medio radar)

Por Adrián González · CEO · Publicado: 18 de junio de 2026 · Actualizado: 18 de junio de 2026
Ciberamenazas Ciberseguridad
post 591 dominios typosquatting

Cogimos 24 marcas reconocidas —12 españolas y 12 internacionales, repartidas entre banca, seguros, energía, telco, retail, logística, transporte, fintech, SaaS y e-commerce— y lanzamos un escaneo OSINT 100% pasivo para medir cuántos dominios typosquatting vivos existen ahora mismo a su sombra. Encontramos 591. Y son un suelo, no un techo.

El typosquatting —registrar un dominio casi idéntico al de una marca para suplantarla— es la base técnica del phishing, del fraude del CEO y de la suplantación digital. No es teoría académica: según el Threat Landscape 2025 de ENISA, el phishing y la ingeniería social representan en torno al 60% de los vectores de entrada observados en Europa. Y según el Balance de Ciberseguridad 2025 de INCIBE, España gestionó 122.223 incidentes en 2025 (+26%), de los cuales 25.133 fueron phishing y 45.445 fraude online (+19% frente al año anterior). El dominio falso es la infraestructura silenciosa que sostiene todo eso.

Qué hicimos: escaneo pasivo, datos públicos, cero tráfico a servidores

Antes de los hallazgos, una palabra sobre método. Toda la información del informe procede de fuentes públicas: resolución DNS sobre HTTPS (DoH) contra los resolvers de Cloudflare, y consultas RDAP al registro de cada dominio. No se envió tráfico a ningún servidor de ninguna marca y no se visitó ningún sitio. Las 24 marcas analizadas no son nombradas en este informe ni en ninguna comunicación pública: los datos se presentan agregados y anónimos, como debe hacerse con un trabajo OSINT responsable.

Para cada marca generamos aproximadamente 80 variantes plausibles —errores de tecleo, letras dobladas, homoglyphs típicos (cero por O, uno por L), cambios de TLD (.com → .net, .es), sufijos comunes de phishing (-login, -verify, -secure, -acceso)— y comprobamos cuáles estaban registradas y vivas. Las que estaban vivas las clasificamos por su registro RDAP: parking, propiedad opaca, infraestructura activa, registro defensivo de la propia marca, preexistente sin relación, y así hasta ocho categorías.

Detalles técnicos para quien quiera reproducir el método: DNS-over-HTTPS evita filtros del operador, RDAP es el sustituto moderno de WHOIS con respuestas estructuradas en JSON. Toda la cadena es pasiva por diseño.

Lo que encontramos

Estos son los cuatro números que cuentan la historia.

  • 591 dominios sospechosos registrados y vivos. Media de aproximadamente 25 por marca, con marcas grandes muy por encima.
  • 282 dominios (48%) con registro MX configurado. Es decir, casi la mitad de los lookalikes vivos puede enviar correo electrónico que parezca venir de la marca legítima.
  • 20 dominios registrados en los últimos 90 días. El paisaje cambia constantemente: lo que hoy no existe, mañana sí.
  • 12 de las 24 marcas tienen al menos un dominio con infraestructura activa de riesgo. La mitad de la muestra ya está bajo presión.

Desglose por clasificación

Esta es la tabla cruda de los 591 dominios vivos repartidos por categoría RDAP. La nomenclatura es la que usamos internamente para clasificar exposición.

  • Registrado / inactivo: 131 — registrado pero sin servicio en pie. Puede activarse en cualquier momento.
  • Propiedad opaca (mayoría .es): 108 — el registro español apenas expone RDAP útil; no se puede saber quién está detrás.
  • Preexistente / probablemente no relacionado: 68 — dominios que coinciden por casualidad con la variante, no por intención.
  • Parking / cybersquatting: 66 — registrados para revender o para monetizar tráfico mal escrito.
  • Defensivo (registrador corporativo de marca): 64 — la propia marca registra el lookalike para que no lo haga un atacante. MarkMonitor, CSC y similares.
  • Infraestructura activa (riesgo): 59 — resuelve a IP, tiene MX o servicio publicado. Es el núcleo del riesgo operativo.
  • Probable legítimo (la misma marca en otro TLD): 32 — la marca posee también esa extensión.
  • Sin clasificar: 63 — cola de variantes que requieren revisión manual adicional.

Los tres patrones que nos chocaron

1. Las grandes marcas se defienden; las medianas y pymes no

64 de los 591 dominios vivos están registrados defensivamente por la propia marca a través de un registrador corporativo especializado. Es decir, la marca paga para registrar la versión typosquatting de su propio dominio antes de que lo haga un atacante. Esto es una práctica estándar en banca grande y multinacionales: en el escaneo aparecen los registradores típicos del sector corporativo. Pero es una póliza de seguro que cuesta dinero y equipo, y la inmensa mayoría de empresas medianas y pymes ni siquiera saben que existe la práctica. Cuando salen del escaneo con cero registros defensivos, no es porque no tengan exposición: es porque nadie se ha encargado.

2. El registro .es es una caja negra

108 de los 591 dominios vivos están en .es y, por la política del registro español, su RDAP no expone datos útiles de titularidad. En la práctica, una empresa española que quiera saber quién está detrás del dominio gemelo a su marca tiene que recurrir a vías mucho más lentas (notario, requerimiento legal, monitorización del propio sitio). Las empresas internacionales tienen mejor visibilidad sobre sus lookalikes en .com que las españolas sobre sus lookalikes en .es. Es una asimetría operativa que pesa más de lo que parece.

3. El correo es el vector real

El 48% de los dominios vivos tiene capacidad de envío de correo. Esto no significa que ya estén enviando phishing —no lo comprobamos, no es objeto de un análisis pasivo— pero significa que la infraestructura para hacerlo ya está montada. La distancia entre "registrado con MX" y "lanzando una campaña de fraude del CEO contra la marca legítima" se mide en minutos. Esa es la munición que un atacante necesita.

Limitaciones del informe

Tres cosas que pensamos publicar abiertamente porque cambian la lectura.

  • 591 es un suelo, no un techo. Durante el escaneo, los registros de Certificate Transparency (crt.sh) estuvieron caídos. Eso significa que no incluimos los lookalikes detectables por su certificado TLS, que son habitualmente los más elaborados y costosos para el atacante. El número real es mayor.
  • "Infraestructura activa de riesgo" significa que el dominio resuelve y tiene capacidad de correo. NO confirma contenido de phishing, porque no se visitó ningún sitio. Es exposición potencial documentada, no incidente confirmado.
  • Para los 108 dominios .es con propiedad opaca, no se pudo clasificar titularidad. Quedan en la categoría "opaca" pero su comportamiento real solo se puede inferir con monitorización adicional.

Qué puedes hacer si esto te ha encendido una luz

No se puede impedir que alguien registre un dominio parecido al tuyo. Lo que sí se puede —y se debería— es enterarse el mismo día que ocurre. Esa es la diferencia entre una suplantación silenciosa que dura semanas (y rompe confianza de cliente, contrata gente para CS y obliga a comunicar a banca) y un incidente que se corta en horas.

La práctica madura tiene tres componentes que conviven:

  • Monitorización continua del espacio de dominios parecidos al tuyo, con alertas cuando aparece uno nuevo o cuando uno existente cambia su estado (resuelve, monta MX, monta certificado TLS).
  • Procedimiento documentado de retirada (takedown) con los registradores, hosting y, si procede, vías de bloqueo en correo y navegadores.
  • Coordinación con el equipo de respuesta a incidentes y con marketing/legal, porque la mitad del daño de una suplantación se mitiga por canal de comunicación, no por mecanismo técnico.

En Hard2bit ponemos a disposición pública Hard2bit Scanner, una herramienta gratuita que en menos de un minuto te dice cuántos dominios parecidos al tuyo hay registrados y vivos. Es self-service y sin registro: pruébalo con tu propio dominio. Si lo que necesitas es la capa gestionada —monitorización continua, alertas, gestión de takedown y coordinación con el equipo de respuesta— eso corresponde al servicio de threat intelligence. Para auditar la exposición externa más allá de los dominios (subdominios, certificados, IPs expuestas), encaja la gestión de superficie de ataque.

Y si ya tienes un incidente de suplantación en curso, la prioridad es contención y comunicación coordinada. Conviene tener pactada de antemano una línea de respuesta —interna o externa— para que las primeras 24 horas no se vayan en decidir quién hace qué.

Nota metodológica

Escaneo realizado en junio de 2026 sobre 24 marcas seleccionadas por reconocimiento de mercado (12 españolas, 12 internacionales) en banca, seguros, energía, telco, retail, logística, transporte, fintech, SaaS y e-commerce. ~80 variantes generadas por marca con reglas combinadas de typosquatting, homoglyphs y sufijos de phishing. Verificación por DNS-over-HTTPS contra los resolvers de Cloudflare y consultas RDAP a cada registro. No se envió tráfico a ningún servidor de ninguna marca; no se visitó ningún sitio web; no se intentó identificar contenido. Datos agregados, anónimos y no atribuibles a marca concreta. Limitación reconocida: Certificate Transparency (crt.sh) no disponible durante la ventana de escaneo, lo que reduce la cobertura sobre lookalikes detectables por TLS.

Si te interesa la técnica, tenemos un glosario abierto sobre phishing y ataques a la cadena de suministro, y una guía práctica para comprobar la seguridad de tu dominio que cubre los chequeos que cualquiera puede hacer en cinco minutos.

Preguntas frecuentes

¿Qué es exactamente el typosquatting y en qué se diferencia del cybersquatting?

El typosquatting es el registro de dominios que se parecen al de una marca legítima con errores tipográficos plausibles (tu-rnarca.com por tu-marca.com, usando rn que parece m), homoglyphs visuales (cero por O), TLDs distintos (.net en lugar de .com) o sufijos como -login, -verify, -secure. Su objetivo habitual es el phishing y la suplantación. El cybersquatting es más amplio: incluye registrar dominios con la marca exacta en otros TLDs con intención de revenderlos o de monetizar tráfico mal dirigido. En la práctica se solapan y muchos lookalikes combinan las dos figuras.

¿Tener MX configurado significa que el dominio está enviando phishing?

No automáticamente. MX (Mail Exchange) en el DNS solo significa que el dominio está preparado para recibir y enviar correo. Hay dominios con MX que nunca llegan a usarse para nada. Lo que sí significa es que la infraestructura está montada y el coste marginal de lanzar una campaña es muy bajo. Por eso lo tratamos como "infraestructura activa de riesgo" en lugar de "phishing confirmado": es exposición potencial documentada que merece monitorización, no un incidente ya ocurrido.

¿Por qué los dominios .es son una caja negra?

El registro de dominios .es, gestionado por Red.es, aplica una política de RDAP/WHOIS más restrictiva que la de los TLDs gTLD (.com, .net) y que la de muchos ccTLD europeos. En la práctica, una consulta RDAP a un dominio .es típico no devuelve titularidad, contacto administrativo ni datos suficientes para identificar al registrante. Esto protege la privacidad del titular legítimo pero también protege al typosquatter. Para investigar un .es sospechoso hay que recurrir a vías más lentas: requerimiento legal, monitorización del propio sitio, o coordinación con el registrador.

¿Qué hacemos si descubrimos un dominio que suplanta nuestra marca?

Cuatro pasos en este orden. Primero, documentar evidencia con timestamps: capturas, registros DNS y RDAP, contenido del sitio si lo hay. Segundo, abrir un takedown con el registrador del dominio (los registradores de marca tipo MarkMonitor o CSC tienen procedimientos rápidos; los registradores genéricos requieren más papeleo). Tercero, si hay phishing activo, solicitar bloqueo en proveedores de correo (Microsoft, Google) y en navegadores (Google Safe Browsing, Microsoft SmartScreen). Cuarto, comunicar internamente a CS, marketing y legal, y externamente a clientes si el riesgo lo justifica. Sin el cuarto paso, el daño reputacional sobrevive al takedown técnico.

¿Cuánto cuesta tener monitorización continua de dominios lookalike?

Depende del alcance. Una herramienta self-service para un solo dominio con alertas básicas puede empezar en cifras bajas o ser gratuita (Hard2bit Scanner cubre la consulta puntual sin coste). Una capa enterprise gestionada —monitorización continua de varios dominios principales, alertas en tiempo real, triage humano, gestión de takedown coordinada con registradores— se mueve habitualmente entre 800 y 3.000 euros al mes para una organización mediana, según número de marcas y nivel de servicio. Es un orden de magnitud inferior al coste de un único incidente de fraude del CEO.

¿Por qué dices que 591 es un suelo y no un techo?

Porque durante la ventana de escaneo, Certificate Transparency (crt.sh) —una de las dos fuentes principales para descubrir dominios elaborados— estuvo caído. Eso significa que no incluimos los lookalikes que solo se detectan por su certificado TLS, que suelen ser los más sofisticados y costosos para el atacante (los que invierten en TLS están más cerca de operar). Cuando crt.sh vuelva, una repetición del mismo escaneo daría un número mayor. Por eso publicamos el 591 como referencia conservadora.

¿Está este escaneo basado en marcas reales o son ficticias?

Las 24 marcas son reales y reconocibles en sus sectores (12 españolas y 12 internacionales), pero no se nombran en este informe ni en ninguna comunicación pública asociada. Los datos se publican exclusivamente agregados (sumas, porcentajes, recuentos por categoría) y no se publica ningún dominio concreto, ni los lookalikes detectados ni los dominios de las marcas analizadas. El objetivo del informe es mostrar la magnitud de la exposición sectorial, no señalar a ninguna empresa.

¿Cómo arranca un servicio de monitorización de lookalikes con Hard2bit?

Habitualmente empezamos con un escaneo inicial gratuito vía Hard2bit Scanner para ver el orden de magnitud de tu exposición. Si los números justifican una capa gestionada, definimos contigo qué marcas y qué dominios principales monitorizar, qué umbrales de alerta tienen sentido (nuevo registro, MX activo, TLS emitido) y qué procedimiento de takedown encaja con tu legal interno. La capa gestionada vive dentro del servicio de threat intelligence y se integra con el SOC o el equipo de respuesta a incidentes existente.