Los servicios de correo electrónico invierten mucho tiempo y esfuerzo en proteger a sus usuarios de amenazas digitales. No obstante, la mayor amenaza para estos no son las contraseñas, sino los correos maliciosos. Identificar si el correo es legítimo o no puede ser complicado, debido a una técnica Unicode que tiene décadas.
Esta técnica, llamada Punycode, permite representar caracteres Unicode en ASCII mediante una combinación de letras, dígitos y guiones. Empleándola, un agente malicioso puede registrar un dominio falso que parezca idéntico a uno real, bastando con que contenga el prefijo xn- para indicar que es compatible ASCII. Este prefijo permite que países con un alfabeto distinto del latino puedan registrar dominios con caracteres de la a a la z, pero transcribiéndolos a su lenguaje local. De esta forma, sería fácil suplantar un dominio como el de Apple, por ejemplo.
Los navegadores como Microsoft Edge, Internet Explorer y Safari son inmunes a esta técnica. En el caso de Chrome, este problema será solventado en Chrome 59. Sin embargo, los usuarios de Firefox tendrán que poner medidas para corregir esta vulnerabilidad, escribiendo about:config en la barra de direcciones y poniendo el atributo network.IDN_show_punycode a true. Con esto, podrán detectar las web falsas que se aprovechan de esta técnica.
Vía: EnGadget.