A principios de marzo de 2025, Notmining Platform señaló un grupo inusual de registros de dominios — varios dominios registrados en un intervalo corto y visualmente similares al nombre de marca de un banco regional que opera en el sur de Europa. El equipo de seguridad del banco recibió la primera alerta poco después de registrarse el primer dominio. Aún no se había enviado ningún email de phishing.
Contexto
El banco llevaba aproximadamente seis meses usando Notmining Platform para la monitorización continua de dominios y web. Para iniciar el seguimiento, el equipo únicamente indicó el dominio principal y una palabra clave de marca; a partir de ahí, la plataforma empezó a señalar registros similares (lookalike) y variaciones habituales asociadas a fraude.
El banco ya había sufrido un incidente de phishing más pequeño — un único dominio lookalike que estuvo activo durante horas antes de que un cliente lo reportara. Ese incidente les llevó a invertir en monitorización proactiva. Este caso fue la primera gran prueba de esa inversión.
El ataque
A primera hora de la mañana, un atacante comenzó a registrar dominios. El patrón era sistemático: variaciones del nombre de marca del banco combinadas con términos como "secure", "login", "online", "banca" y "acceso". Algunos usaban guiones, otros sustituían letras (cambiando "i" por "1", "o" por "0") y varios usaban TLDs de código de país para parecer legítimos a nivel local.
Varios dominios registrados en un intervalo corto. Todos variaciones del nombre de marca del banco. Mezcla de TLDs genéricos (.com, .net, .org) y TLDs de código de país. Ninguno estaba activo aún como página de phishing — el atacante seguía montando la infraestructura.
Este es un patrón común previo al ataque: los atacantes registran un lote de dominios por adelantado y, después, despliegan páginas de phishing en los más convincentes, mientras usan el resto como respaldo o para probar distintos cebos. La ventana entre el registro y la primera víctima suele ser de unas pocas horas.
Cómo ayudó Notmining
La monitorización de dominios de Notmining Platform ayuda a identificar registros recientes que se parecen a una marca, incluyendo variaciones comunes y combinaciones con términos habituales de fraude. Cuando aparece un dominio relevante, se genera una alerta con los detalles necesarios para revisar el caso.
En este caso, el primer dominio disparó una alerta poco después del registro. A lo largo de la mañana, se identificaron dominios adicionales relacionados y se agruparon para facilitar su revisión y priorización por el equipo de seguridad.
La respuesta
El equipo de seguridad del banco recibió la alerta consolidada poco después. La alerta incluía:
- Una lista completa de los dominios con sus marcas de tiempo de registro
- Detalles del registrador y datos WHOIS de cada dominio
- Señales de relación entre los dominios (patrones de naming, ventana de registro, registrador)
- Orientación para el seguimiento (revisión, reporte a registrador y monitorización)
El equipo envió los reportes de abuso a los registradores poco después de recibir la alerta. Ese mismo día, la mayoría de los dominios ya habían sido suspendidos. Los restantes se resolvieron en los días siguientes tras escalar por el proceso de abuso del registrador.
Ninguno de los dominios llegó a desplegarse como página de phishing activa. El ataque se neutralizó por completo en la fase de infraestructura — antes de cualquier interacción con clientes.
Por qué importa detectar pronto
La clave de este caso es el tiempo. Los ataques de phishing siguen un ciclo predecible: registro del dominio → montaje de infraestructura → lanzamiento de campaña → exposición de víctimas. La mayoría de métodos de detección operan en la fase de lanzamiento — cuando los emails ya están en las bandejas de entrada o cuando un cliente reporta un enlace sospechoso.
La visibilidad en la fase de registro del dominio — el punto más temprano posible del ciclo del ataque — da margen de actuación antes de que el atacante despliegue infraestructura y lance la campaña. En este caso, esa ventaja permitió contener la operación antes de que llegara a clientes.
"Supimos del ataque antes de que el atacante terminara de montarlo. Es una de las mejores formas de minimizar el impacto."— Resumen de alerta de Notmining Platform, marzo de 2025
Conclusiones clave
- La monitorización de registros de dominios detecta ataques en la fase más temprana posible — antes de que cualquier víctima sea alcanzable.
- Los clústeres coordinados de dominios (múltiples registros en una ventana corta) son una señal fuerte de campaña planificada.
- Una alerta con evidencia clara (dominios, timestamps, registrador/WHOIS) reduce fricción en la respuesta.
- La monitorización proactiva reduce significativamente el tiempo de reacción.
- La ventana entre el registro del dominio y la primera víctima suele ser de unas pocas horas — la detección debe ocurrir dentro de esa ventana.