La vida media de un phishing domain activo es de aproximadamente 36 horas antes de ser detectado y eliminado. En ese tiempo, el atacante maximiza el número de víctimas usando un dominio que la mayoría de usuarios no diferencia del legítimo a primera vista.
Detectar esos dominios antes de que el ataque llegue a las víctimas es una disciplina en sí misma dentro de la ciberseguridad defensiva.
Esta guía explica la metodología profesional para hacerlo: qué técnicas usan los atacantes para construir dominios de phishing creíbles y qué herramientas y procesos usan los equipos de seguridad para detectarlos, analizarlos y reportarlos.
Qué es un phishing domain y cómo funciona
Un phishing domain es un dominio registrado por un atacante para suplantar a una organización legítima. No es el dominio oficial hackeado: es un dominio nuevo, registrado específicamente para el ataque, diseñado para parecer legítimo a primera vista.
Su función en un ataque de phishing es doble. Por un lado, aloja la página falsa donde la víctima introduce sus credenciales. Por otro, sirve como dominio remitente de los correos fraudulentos, dando una apariencia de legitimidad al mensaje.
Para entender el papel que los phishing domains juegan en el ecosistema de ataque completo, el artículo sobre qué es el phishing cubre todas las fases del ataque y cómo los dominios maliciosos se integran en cada una de ellas.
Técnicas de domain squatting: cómo construyen dominios creíbles los atacantes
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl domain squatting es el conjunto de técnicas que usan los atacantes para registrar dominios que imitan al legítimo de forma creíble. Conocerlas es el primer paso para detectarlas.
Typosquatting
Registrar dominios con los errores tipográficos más frecuentes al escribir el dominio objetivo. Si alguien escribe gogle.com en lugar de google.com, llega al dominio del atacante. Los errores más frecuentes son la omisión de una letra, la duplicación de una letra adyacente y la transposición de dos letras contiguas.
Homoglyphs e IDN
Usar caracteres Unicode visualmente idénticos a caracteres ASCII estándar. La «а» cirílica y la «a» latina son indistinguibles en la mayoría de tipografías. Un dominio construido con caracteres de otros alfabetos puede ser imposible de diferenciar visualmente del legítimo, pero técnicamente son dominios completamente distintos.
Adición y eliminación de caracteres
Añadir un guion, una letra extra o un prefijo al dominio legítimo: secure-bancosantander.com, bancosantanderr.es o www-bancosantander.com. La adición de palabras como secure, login, account o verify al dominio real es especialmente efectiva porque añade credibilidad semántica al ataque.
Cambio de TLD
Registrar el mismo nombre de dominio con una extensión diferente: empresa.net cuando el oficial es empresa.es. Con la proliferación de nuevos TLDs (.shop, .online, .app, .bank), la superficie de ataque disponible por esta técnica ha crecido significativamente.
Subdominios engañosos
Usar el dominio legítimo como subdominio de uno controlado por el atacante: bancosantander.es.ataque.com. El dominio legítimo aparece en la URL, pero el dominio real es el que está después del último punto antes del TLD. Esta técnica explota el hábito de los usuarios de buscar el nombre de la marca en la URL sin verificar la estructura completa.
Metodología de detección de phishing domains
La detección profesional de phishing domains combina monitorización proactiva (buscar dominios antes de que se usen) con análisis reactivo (investigar dominios que aparecen en alertas o incidentes). Los dos enfoques son complementarios y necesarios.
Detección proactiva: monitorización continua
El enfoque más efectivo es la monitorización periódica automática del espacio de dominios cercano al corporativo. Consiste en ejecutar regularmente un análisis de permutaciones del dominio objetivo y verificar cuáles están registrados, activos y sirviendo contenido.
La herramienta de referencia para este proceso es DNStwist: genera sistemáticamente todas las variantes del dominio objetivo y comprueba cuáles están registradas, resuelven a una IP, tienen servidores de correo activos o sirven páginas con contenido similar al original mediante fuzzy hashing.
Integrado en un pipeline automatizado que ejecuta el análisis diariamente y alerta cuando aparecen nuevos dominios similares, DNStwist permite detectar la infraestructura del atacante mientras la está construyendo, antes de que el ataque llegue a las víctimas.
Certificate Transparency Logs
Los Certificate Transparency Logs son registros públicos donde se registran todos los certificados SSL/TLS emitidos por las autoridades de certificación. Cuando un atacante prepara un sitio de phishing con HTTPS, necesita emitir un certificado para su dominio. Ese certificado queda registrado públicamente.
Monitorizar los CT Logs en busca de certificados emitidos para dominios similares al corporativo permite detectar sitios de phishing en preparación. La herramienta más usada para esto es crt.sh, un motor de búsqueda público de CT Logs accesible en crt.sh. Una búsqueda de %.bancosantander% devuelve todos los certificados emitidos para dominios que contienen esa cadena.
Análisis WHOIS
Cuando se detecta un dominio sospechoso, el análisis WHOIS proporciona información sobre su registrador, fecha de registro y datos del registrante (cuando no están oscurecidos por servicios de privacidad).
Un dominio muy reciente (registrado en las últimas horas o días) con alta similitud visual al corporativo y servidor de correo activo es una señal de alarma de ataque en preparación. La combinación de fecha de registro reciente, hosting bulletproof o privacidad de registrante activada son patrones frecuentes en dominios maliciosos.
Análisis de contenido y fuzzy hashing
Para los dominios que resuelven a una IP y sirven contenido web, el análisis de similitud del contenido HTML con el del dominio legítimo confirma si se trata de una réplica fraudulenta activa. DNStwist incorpora fuzzy hashing con ssdeep para automatizar este análisis.
Para dominios individuales, VirusTotal permite analizar la URL y obtener puntuaciones de múltiples motores de detección simultáneamente.
Herramientas para detectar phishing domains
DNStwist
La herramienta de referencia para la detección proactiva de dominios de phishing. Genera permutaciones del dominio objetivo y verifica registros DNS, servidores de correo, fuzzy hashing y datos WHOIS para cada variante. Ideal para monitorización continua integrada en pipelines automatizados.
El artículo sobre qué es DNStwist cubre en detalle su instalación, comandos principales y cómo integrarlo en flujos de trabajo de threat intelligence.
VirusTotal
Plataforma que analiza URLs y dominios contra más de 70 motores de detección simultáneamente. Devuelve la puntuación de seguridad del dominio, historial de detecciones previas, datos WHOIS, certificados SSL y comportamiento de las páginas servidas.
Es la primera herramienta que hay que consultar cuando se tiene un dominio sospechoso concreto que analizar.
PhishTank
Base de datos colaborativa de URLs de phishing verificadas por la comunidad de ciberseguridad. Permite verificar si una URL ya está catalogada como phishing y aportar nuevas detecciones.
Tiene API gratuita para integración en sistemas de monitorización. Es una de las fuentes de IOC más usadas en feeds de threat intelligence.
URLVoid
Servicio de reputación de dominios que consulta múltiples listas negras y fuentes de inteligencia de amenazas simultáneamente.
Más orientado a verificaciones individuales rápidas que a monitorización continua. Útil para una primera verificación rápida de un dominio sospechoso antes de un análisis más profundo.
Phishing Catcher y Miteru
Dos herramientas open source de detección en tiempo real que monitorizan los Certificate Transparency Logs buscando certificados emitidos para dominios con palabras clave sospechosas (nombres de marcas, términos como secure, login, account).
Phishing Catcher analiza los logs de CT en tiempo real y alerta cuando aparecen certificados para dominios similares a los configurados como objetivo. Miteru añade análisis del contenido de los dominios detectados para verificar si están sirviendo activamente páginas de phishing.
Google Safe Browsing API
API gratuita de Google que permite verificar si una URL aparece en las listas de sitios de phishing o malware de Google. Usada por Chrome, Firefox y Safari para mostrar advertencias de seguridad. Integrable en sistemas de monitorización corporativos para verificación automática de URLs.
| Herramienta | Tipo | Mejor para | Coste |
|---|---|---|---|
| DNStwist | Open source (local) | Monitorización continua automatizada | Gratuito |
| VirusTotal | Web / API | Análisis individual de dominios concretos | Gratuito / Premium |
| PhishTank | Base de datos / API | Verificación contra IOC conocidos | Gratuito con registro |
| URLVoid | Web | Verificación rápida de reputación | Gratuito |
| Phishing Catcher | Open source (local) | Monitorización CT Logs en tiempo real | Gratuito |
| Google Safe Browsing | API | Verificación en tiempo real integrable | Gratuito |
Cómo interpretar los resultados: de la alerta a la decisión
Detectar un dominio similar al corporativo no significa automáticamente que sea malicioso. El análisis de los resultados requiere criterio para distinguir amenazas reales de falsos positivos.
Las señales que indican amenaza real con alta probabilidad son: dominio registrado recientemente (menos de 30 días), alta similitud visual con el dominio corporativo, servidor de correo activo configurado, página web activa con contenido similar al original según fuzzy hashing, y alojado en infraestructura bulletproof o con registrante oculto.
Los falsos positivos más frecuentes son: registros defensivos que la propia organización ha hecho de variantes de su dominio, empresas legítimas con nombre similar que operan en otro sector o país, y dominios caducados de terceros que resuelven a páginas de parking de registradores.
La combinación de varios indicadores simultáneos (dominio reciente + contenido similar + correo activo) es la que debe activar el proceso de respuesta. Un único indicador aislado raramente justifica acción inmediata sin análisis adicional.
Cómo reportar un phishing domain detectado
Detectar un dominio malicioso activo tiene valor solo si se actúa sobre esa información. El proceso de reporte tiene varias vías con distinto alcance e impacto.
INCIBE: portal 017 o incibe.es/ciudadania/avisos — para ciudadanos y empresas.
Policía Nacional: a través del formulario de denuncia por delitos informáticos.
Registrador del dominio: solicitud de eliminación por abuso directamente al registrador.
Google Safe Browsing: reportar URL en safebrowsing.google.com/safebrowsing/report_phish/
PhishTank: añadir la URL a la base de datos pública colaborativa.
Microsoft: reportar en microsoft.com/en-us/wdsi/support/report-unsafe-site
ICANN: para dominios abusivos en whois.icann.org.
El reporte al registrador del dominio es habitualmente el canal con mayor velocidad de respuesta para eliminar la infraestructura del atacante. La mayoría de registradores tienen procedimientos de abuse con tiempos de respuesta de 24 a 72 horas para dominios activamente maliciosos.
Para entender cómo se analiza la infraestructura completa de un ataque de phishing una vez detectado el dominio, el artículo sobre qué son los phishing kits explica los componentes técnicos que se despliegan en estos dominios y los artefactos que dejan para el análisis forense.
Integrar la detección de phishing domains en el flujo de trabajo de seguridad
La detección puntual de dominios maliciosos tiene valor limitado. El impacto real se consigue cuando se integra en un proceso continuo y automatizado.
Lo que más marca la diferencia entre un equipo de seguridad reactivo y uno proactivo en la gestión de phishing domains no es el conocimiento de las herramientas en sí. Es la capacidad de construir un flujo de trabajo que ejecute los análisis automáticamente, filtre los falsos positivos con criterio y actúe sobre las amenazas reales en la ventana de tiempo disponible antes de que el ataque se active.
Un pipeline básico de monitorización continua combina DNStwist ejecutado diariamente sobre los dominios corporativos más críticos, Phishing Catcher monitorizando los CT Logs en tiempo real y un proceso de triaje que contrasta los dominios detectados contra PhishTank y VirusTotal antes de escalar a respuesta.
Para el análisis de spear phishing dirigido donde el dominio es parte de un ataque personalizado, el artículo sobre qué es el spear phishing explica cómo los atacantes combinan dominios fraudulentos con reconocimiento OSINT para construir campañas de alta efectividad.
Álvaro llevaba años gestionando equipos de seguridad perimetral en IBM antes de dar el salto. Se había mudado a Alemania para continuar su carrera y buscaba una formación que le diera visión completa del campo antes de decidir dónde especializarse.
El Bootcamp de Ciberseguridad de KeepCoding le dio exactamente eso. Hoy trabaja en el Blue Team de Airbus Cybersecurity, donde la monitorización de dominios maliciosos y el análisis de infraestructura de phishing forma parte del trabajo cotidiano. Su siguiente reto es el OSCP.
Cómo aprender detección de phishing domains de forma profesional
La detección de phishing domains es una disciplina que combina conocimientos de DNS y redes, análisis forense de dominios, threat intelligence y automatización. El conocimiento técnico de las herramientas es la parte más fácil de adquirir.
Lo que más tarda en desarrollarse es el criterio para interpretar los resultados, priorizar las amenazas reales y construir procesos que escalen sin depender de análisis manual para cada dominio detectado.
Ese criterio se construye trabajando con herramientas reales en escenarios reales: analizando dominios de phishing activos, construyendo los pipelines de detección y entendiendo cómo piensan los atacantes cuando diseñan su infraestructura. Sin ese contexto práctico, las herramientas son solo comandos en un terminal.
Para aprender a detectar y analizar phishing domains con metodología profesional y herramientas del mercado actual, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo.
Conclusión
La detección de phishing domains antes de que lleguen a las víctimas es una de las formas más efectivas de reducir el impacto del phishing en una organización. La combinación de monitorización proactiva con DNStwist, análisis de Certificate Transparency Logs y verificación contra bases de datos de IOC proporciona una cobertura real del espacio de amenazas en el dominio.
La clave no está en usar más herramientas. Está en integrarlas en un proceso continuo y automatizado que reduzca la ventana entre el registro del dominio malicioso y su detección, y en tener el criterio para actuar sobre las alertas reales en ese tiempo.
La referencia más completa sobre técnicas de detección de dominios de phishing y análisis de infraestructura maliciosa está disponible en el portal de PhishTank y en la documentación del proyecto DNStwist en GitHub.
