Skip to main content

Los hackers pueden estar escondidos en su sitio web favorito

Los investigadores de seguridad han detallado cómo el sombreado de dominios se está volviendo cada vez más popular para los ciberdelincuentes.

Según lo informado por Bleeping Computer, los analistas de Palo Alto Networks (Unidad 42) revelaron cómo se encontraron con más de 12,000 incidentes de este tipo en solo un período de tres meses (de abril a junio de 2022).

Una representación de una computadora hackeada sentada en una oficina llena de PC.
Getty Images

Una rama del secuestro de DNS, el sombreado de dominios proporciona la capacidad de crear subdominios maliciosos infiltrándose en dominios legítimos. Como tal, los dominios sombreados no tendrán ningún impacto en el dominio principal, lo que naturalmente los hace difíciles de detectar.

Posteriormente, los ciberdelincuentes pueden utilizar estos subdominios a su favor para diversos fines, incluidos el phishing, la distribución de malware y las operaciones de comando y control (C2).

«Concluimos a partir de estos resultados que el sombreado de dominio es una amenaza activa para la empresa, y es difícil de detectar sin aprovechar los algoritmos automatizados de aprendizaje automático que pueden analizar grandes cantidades de registros de DNS», dijo unit 42.

Una vez que el acceso ha sido obtenido por los actores de amenazas, podrían optar por violar el dominio principal en sí y sus propietarios, así como dirigirse a los usuarios de ese sitio web. Sin embargo, han tenido éxito al atraer a individuos a través de los subdominios, además del hecho de que los atacantes permanecen sin ser detectados durante mucho más tiempo al confiar en este método.

Debido a la naturaleza sutil del sombreado de dominios, la Unidad 42 mencionó cómo es difícil detectar incidentes reales y dominios comprometidos.

De hecho, la plataforma VirusTotal identificó solo 200 dominios maliciosos de los 12.197 dominios mencionados en el informe. La mayoría de estos casos están conectados a una campaña de phishing individual que utiliza una red de 649 dominios sombreados a través de 16 sitios web comprometidos.

Una alerta de advertencia pirateada del sistema que se muestra en la pantalla de una computadora.
Getty Images

La campaña de phishing reveló cómo los subdominios mencionados anteriormente mostraban páginas de inicio de sesión falsas o redirigían a los usuarios a páginas de phishing, lo que esencialmente puede eludir los filtros de seguridad del correo electrónico.

Cuando un usuario visita el subdominio, se solicitan credenciales para una cuenta Microsoft. A pesar de que la URL en sí no es de una fuente oficial, las herramientas de seguridad de Internet no son capaces de diferenciar entre una página de inicio de sesión legítima y falsa, ya que no se presentan advertencias.

Uno de los casos documentados por el informe mostró cómo una empresa de capacitación con sede en Australia confirmó que fue pirateada a sus usuarios, pero el daño ya estaba hecho a través de los subdominios. Una barra de progreso para el proceso de reconstrucción se mostró en su sitio web.

Actualmente, el «modelo de aprendizaje automático de alta precisión» de Unit 42 ha descubierto cientos de dominios sombreados creados a diario. Con esto en mente, siempre verifique la URL de cualquier sitio web que le solicite datos, incluso si la dirección está alojada en un dominio de confianza.

Recomendaciones del editor

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Hallan método de rastreo en la web a través de los faviconos
Cookies

Es probable que nunca te hayas detenido a pensar en los pequeños íconos que muestran los sitios webs una vez que han sido agrupados en pestañas.

Reciben el nombre de faviconos, y también aparecen en la lista de favoritos o en los marcadores. Sirven para que sea más fácil identificar un sitio web.

Leer más
«Los 1001 discos que debes escuchar» están en este sitio web
La imagen muestra a una mujer escuchando música.

Son tantas las opciones que nos ofrecen los distintos productos culturales, que muchas veces no sabemos qué elegir.

Esto pasa con los libros, las series, las películas y, por supuesto, con la música, cuya difusión ha aumentado gracias a los servicios de streaming que ofrecen canciones de manera ilimitada.

Leer más
Hackers venden en la dark web datos de millones de usuarios
Una imagen que representa la ciberseguridad

Los ShinyHunters, un grupo de maleantes cibernéticos que la semana pasada hackeó la tienda en línea más grande de Indonesia, Tokopedia, para vender por $5,000 dólares la información de sus 91 millones de usuarios, asegura haberse infiltrado a las bases de datos de 10 compañías; datos que actualmente se encuentran vendiendo en un mercado de productos ilegales en la dark web, de acuerdo con reportes de ZDNet.

Para avivar el interés de los compradores, el grupo de hackers compartió algunas muestras gratis de los datos hurtados. Aunque por el momento no se puede verificar la autenticidad de todo el material, algunas fuentes con vínculos con la comunidad de las amenazas cibernéticas, entre ellas Cyble, Nightlion Security, Under the Breach y ZeroFOX, afirman que el grupo de hackers en efecto representa una amenaza real.

Leer más