Google recientemente desvelado (se abre en una pestaña nueva) ocho nuevos dominios de nivel superior (TLD) diseñados para inspirar a padres (.dad), graduados (.prof, .phd y .esq) y entusiastas de la tecnología (.foo, .zip, .mov y .nexus), pero al menos dos de ellos presentan un riesgo significativo de ciberseguridad, advirtieron los expertos.
Los TLD en cuestión, .zip y .mov, comparten su nombre con formatos de archivo comunes (archivos ZIP y archivos de video) que existen fuera de las cuatro paredes de Internet, que muchos expertos en seguridad cibernética señalan por ser engañosos.
Si bien en el pasado se implementaron otros TLD igualmente vulnerables, como .docs, la introducción de dos más aumenta las posibilidades de una estafa o un ataque de phishing, lo que brinda a los actores de amenazas más rutas.
Riesgo de TLD .zip y .mov
Un sitio web legítimo con cualquier TLD, incluidos ejemplos «peligrosos» como .zip, podría incluir una sección de ayuda que describa el proceso necesario para abrir un archivo comprimido, por ejemplo. Si ese archivo se llama, en nuestro caso, ejemplo.zip, el nombre de un usuario navegador entonces puede agregar automáticamente un hipervínculo porque sabe que .zip es un TLD legítimo, aunque en nuestro caso la página se refiere a un archivo local y no a un sitio web.
Si bien el archivo en sí es seguro, un actor de amenazas ya podría haber registrado un sitio web bajo ese dominio con la esperanza de que los usuarios desprevenidos hagan clic en hipervínculos que los lleven a una página maliciosa que podría ser el host de malwareataques de phishing u otras estafas.
Ya se han registrado una serie de dominios preocupantes bajo los nuevos y peligrosos TLD con la esperanza de que alguien, en algún lugar, se haya referido al nombre del archivo en una página web, que luego se convertirá en un hipervínculo a su sitio malicioso.
Si bien hay algunos pasos que un usuario puede tomar para ser más inteligente cuando se trata de seguir enlaces potencialmente riesgosos, parte de la responsabilidad debe recaer en última instancia en Google. La empresa no respondió de inmediato a TechRadar Prosolicitud de comentarios.