Pero la razón por la que .zip y .mov han generado tanta controversia es que se hacen pasar por extensiones de archivo populares utilizadas en computadoras Windows y macOS. Eso los hace maduros para trucos malévolos.

Muchas aplicaciones de mensajería y sitios web de redes sociales convierten automáticamente una palabra que termina en un TLD en un enlace de sitio web, lo que significa que simplemente contarle a un amigo sobre un archivo que desea enviarle podría transformar sus palabras en una URL en la que se puede hacer clic. Si un hacker ya ha registrado esa URL y la está utilizando con fines nefastos, su amigo podría ser enviado a un sitio web dañino.

Bleeping Computer demostró el problema con un mensaje de ejemplo que decía:

Si un hacker ha registrado los dominios prueba.zip y prueba.mov, el destinatario del mensaje podría visitar el enlace del mensaje y correr el riesgo de descargar un archivo infectado. Después de todo, naturalmente podrían esperar que la URL que visitan contenga el archivo que se les ha dicho que descarguen.

Estan al acecho

El riesgo no es solo teórico. De hecho, la firma de ciberseguridad Silent Push Labs ya ha visto este tipo de prestidigitación en la naturaleza, con sitios web de phishing creados en microsoft-office.zip y microsoft-office365.zip, que probablemente intenten robar las credenciales de inicio de sesión del usuario haciéndose pasar por el sitio web oficial de Microsoft.

Si bien hay muchos usos legítimos para los dominios .zip y .mov, como aplicaciones de compresión de archivos o plataformas de transmisión de video, también parece haber potencial de abuso, algo que los piratas informáticos aparentemente ya están aprovechando.

Si ve un enlace que termina en .zip o .mov y parece estar vinculado a una gran empresa, primero investigue que el dominio realmente pertenece a esa empresa antes de hacer clic en el enlace. De hecho, no debe visitar ningún sitio web ni descargar ningún archivo enviado por alguien en quien no confíe, independientemente de si los TLD .zip o .mov están involucrados. El uso de una aplicación antivirus y una buena dosis de escepticismo debería contribuir en gran medida a mitigar la miríada de amenazas en línea, incluso de los piratas informáticos que utilizan estos nuevos dominios.

¿Qué debes hacer?

La realidad es que no necesita hacer nada más de lo que ya está haciendo para protegerse de los sitios de phishing.

Como todos ya deberían saber, nunca es seguro hacer clic en enlaces de personas o descargar archivos de sitios en los que no confía.

Al igual que con cualquier enlace, si ve un enlace .zip o .mov en un mensaje, investíguelo antes de hacer clic en él. Si aún no está seguro de si el enlace es seguro, no haga clic en él.

Al seguir estos sencillos pasos, el impacto de los nuevos TLD será mínimo y no aumentará significativamente su riesgo. Sin embargo, es probable que la exposición a estos enlaces aumente a medida que más aplicaciones conviertan automáticamente los nombres de archivo ZIP y MOV en enlaces, lo que le brinda una cosa más con la que debe tener cuidado cuando está en línea.