En el ecosistema digital actual, las campañas de phishing continúan
evolucionando, buscando nuevas formas de engañar a los usuarios. Una técnica
común es registrar dominios que imitan marcas legítimas para crear sitios
fraudulentos a través de anuncios publicitarios en buscadores y redes
sociales.
En Pets Deli, el año pasado fuimos víctimas de una campaña de phishing
particular: los atacantes usaban anuncios falsos (phishing Ads) que
redirigían a sitios fraudulentos diseñados para parecerse a nuestra web. A
diferencia del phishing tradicional vía correo electrónico, esta técnica
utiliza publicidad engañosa para atraer a potenciales víctimas a traves de
buscadores y redes sociales.
¿Phishing por anuncios o malvertising? Conociendo la diferencia
Mientras que el malvertising consiste en el uso de anuncios online con
el fin principal de propagar malware (virus, ransomware, spyware), en nuestro
caso nos enfrentamos a un tipo diferente: phishing por anuncios. Aquí,
los anuncios fraudulentos no instalan malware en los dispositivos, sino que
llevan a usuarios a sitios falsos para robar sus datos personales o
credenciales.
Esta distinción es importante para entender cómo protegerse: si bien ambos
implican riesgos por medio de anuncios, las técnicas y objetivos son
diferentes. Nuestro foco fue detectar estos dominios fraudulentos usados en
anuncios para anticipar la acción y actuar rápidamente para proteger a
nuestros clientes.
El desafío del monitoreo de certificados SSL
Una pieza clave en el monitoreo de certificados SSL son los CT logs (Certificate Transparency logs): registros públicos donde se almacenan todos los certificados SSL emitidos
por las autoridades de certificación. Estos logs permiten detectar rápidamente
la aparición de nuevos dominios, facilitando la identificación temprana de
posibles intentos de phishing o abuso de marca. Sin ellos, sería prácticamente
imposible conocer en tiempo real qué dominios están siendo certificados en
Internet.
CT logs
Durante un tiempo, confiamos en
CertStream de Cali Dog, una herramienta que permitía monitorizar en tiempo real los nuevos
certificados SSL emitidos para detectar dominios que coincidieran con nuestras
marcas. Esto nos ayudaba a reaccionar rápido.
Sin embargo, a finales del año pasado el servicio comenzó a fallar por el alto
costo de mantener un servidor centralizado que procesara toda la información,
dejándonos sin una alternativa estable. Y como nos estamos preparando para
eventos de alto riesgo como Black Friday, necesitábamos una solución, y lo
tome como un reto personal.
Una solución local, ligera y Open Source
Antes de desarrollar esta solución, evalué otras alternativas como
certstream-server-go, que es una excelente opción open source y muy robusta, pero para nuestro
caso de uso era demasiado: no necesitábamos toda la información detallada de
cada certificado ni métricas avanzadas, solo queríamos monitorear en tiempo
real la aparición de nuevas URLs sospechosas. Por eso creé
CertPatrol
como una alternativa mucho más ligera y enfocada en la detección rápida de
dominios relevantes para la marca, sin la complejidad de desplegar y mantener
un servidor completo.
Para cubrir esta necesidad, desarrollé un script local en Python que:
- Se conecta directamente a fuentes públicas de certificados recientes.
-
Busca coincidencias con palabras clave o marcas definidas (por ejemplo,
«petsdeli»). -
Esto nos permite generar alertas inmediatas con la información mínima
necesaria para evaluar y actuar rápido.
Esta herramienta es independiente y no depende de servicios centrales
inestables. Es fácil de instalar desde PyPi, totalmente configurable y Open
Source, lo que permite que cualquiera la use, modifique o mejore según sus
necesidades. Además, posibilita la detección en tiempo real de dominios
fraudulentos utilizados en campañas de phishing a través de anuncios.
Guía rápida: cómo instalar y usar CertPatrol paso a paso
Toda la información, documentación y el código están disponibles en: 👉
https://torito.io
Aunque el phishing no va a desaparecer, y adopta diferentes formas como el
phishing a través de anuncios, la detección temprana de dominios sospechosos
es clave para mitigar su impacto. Esta herramienta busca ayudar a las empresas
a estar un paso adelante y proteger tanto la marca como a sus clientes sin
agregar demasiada complejidad a sus procesos.
Por
Martín Aberastegue (Xyborg) – Lead SEO & SEA Manager at Pets Deli.