¿Cómo pueden los caracteres árabes en las URL robar tus datos? Explicación del ataque BiDi Swap.
Chrome y Edge no distinguen entre ilusión y realidad — ¿tú lo notarás?
Los investigadores de Varonis Threat Labs, en su reciente informe recordaron a la comunidad cibernética un método de suplantación de URL que utilizan activamente los actores de phishing para enmascarar enlaces maliciosos como legítimos. Esta técnica, basada en las particularidades de la visualización de texto con direcciones de escritura distintas —de izquierda a derecha y de derecha a izquierda— ha recibido ahora el nombre BiDi Swap, que subraya la esencia del método y su relación con el procesamiento bidireccional del texto en los navegadores.
El ataque se basa en la manipulación del algoritmo que muestra símbolos Unicode destinados a idiomas con direcciones de escritura diferentes. Por ejemplo, el inglés y el español usan la convención habitual de izquierda a derecha (LTR), mientras que el árabe y el hebreo usan derecha a izquierda (RTL). Cuando en una misma URL se combinan símbolos de direcciones distintas, los navegadores aplican el denominado algoritmo Bidi para mostrar la cadena correctamente. Sin embargo, no siempre gestiona correctamente estos tipos de URL: esto afecta sobre todo a los subdominios y a los parámetros de consulta. Sobre esta base funciona el mecanismo de suplantación: con cierta estructura de la cadena, el navegador puede mostrar la dirección de forma muy distinta a la real.
Estos ataques no son nuevos. Ya se emplearon trucos similares —por ejemplo, ataques homográficos con Punycode, cuando caracteres cirílicos o griegos que visualmente coinciden con la latín se usan para crear dominios falsos como "apple.com" (con la letra "a" cirílica) o "paypal.com" (con letras cirílicas que parecen latinas). Otro método —RTL-override— permitía insertar en la cadena caracteres especiales como U+202E, que cambiaban la dirección del texto y ocultaban las extensiones reales de archivos o engañaban a los sistemas de filtrado.
BiDi Swap se aprovecha de las mismas debilidades en el manejo de Unicode, pero las utiliza de otro modo: el atacante crea una URL con dominios y parámetros en árabe o hebreo, y luego inserta un subdominio o parámetro falso en inglés —por ejemplo, «https://varonis.com.ו.קום/». A primera vista parece que el enlace dirige al sitio de Varonis, cuando en realidad el dominio es «ו.קום» y el resto es solo una parte engañosa de la cadena. A veces se añaden indicaciones de puerto u otros símbolos que aumentan la confusión en la visualización de la dirección.
Aunque estas técnicas se conocen desde hace tiempo, la mayoría de los navegadores populares todavía no ofrecen una protección completa contra ellas. En Chrome, a pesar de la función de sugerencias de navegación para dominios sospechosamente parecidos, no siempre se activa. Firefox aplica otro enfoque, resaltando las partes clave del nombre de dominio en la barra de direcciones, lo que ayuda a detectar la suplantación. En Microsoft Edge los desarrolladores señalaron el problema como resuelto, pero en la práctica el comportamiento del navegador no cambió. El único ejemplo de visualización correcta fue el navegador Arc, que ya no recibe soporte.
Los investigadores recomiendan extremar la precaución al seguir enlaces que contengan mezcla de direcciones de texto o construcciones inusuales. Los usuarios deberían situar el cursor sobre direcciones sospechosas, comprobar certificados SSL y la estructura del nombre de dominio, y los desarrolladores de navegadores deberían mejorar la protección, incluyendo el resaltado de dominios y la ampliación de los algoritmos de detección de falsificaciones. Estas medidas ayudan a prevenir, en una etapa temprana, el acceso a recursos maliciosos.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla