21 jun. 2020

El peligro de los (sub)dominios abandonados

Sabemos que existen dominios "reciclados", es decir, que vuelven a ser utilizados por otras personas u organizaciones. Esto pasa bastante cuando los nombres de dominio hacen referencia a cosas o situaciones cotidianas que son propias o de cada país o de la región. El portal especializado CSO Online destaca una prueba que se había realizado por el investigador Gabor Szathmari. Esta prueba consistió en un re-registro de viejos nombres de dominios que se habían abandonado. Los mismos pertenecían a estudios jurídicos que se habían unido a otros para formar alianzas, en consecuencia, los dominios originales habían quedado abandonados.

Es imposible que todos los dominios web que existen hasta el momento se encuentren activos, por lo que existen millones de dominios que actualmente no lo están. Los cibercriminales pueden sacar provecho de los mismos y llevar a cabo múltiples intentos de fraude. Pero, ¿cómo es posible atacar a un dominio web que ya no se está usando? Si hablamos de ciberataques, casi siempre hay una manera de hacerlo. Este artículo te explicará lo peligroso que es dejar un dominio abandonado, y qué podrías hacer para mitigar los riesgos de ataques.

Una de las fuentes de información más abundantes son los correos electrónicos. Ni hablar de los que corresponden a entornos corporativos. Existen situaciones en las que empresas cambian de denominación, dejan de operar o bien, se fusionan con otras para generar alianzas estratégicas. En cualquiera de esos casos, hay altas posibilidades de que dominios que antes se utilizaban, ahora dejen de usarse. Sin embargo, esto no significa que toda la información asociada no deje de estar disponible para el próximo responsable de ese dominio.

Este investigador montó un servidor de correo electrónico y sin realizar ninguna actividad ilícita, se topó con datos relacionados al dominio abandonado. Estos incluyen correos electrónicos con información confidencial: asuntos bancarios y financieros, facturas, documentos de los clientes de los estudios jurídicos y actualizaciones. Posteriormente, esta persona realizó las gestiones correspondientes para devolver el dominio y los datos al dueño original.

Dominios abandonados: puerta de entrada a ataques phishing

El peligro de los nombres de dominio abandonados no sólo afecta a los estudios jurídicos, sino a prácticamente cualquier persona u organización que maneje una alta cantidad de datos. Imaginemos a una tienda de tipo comercio electrónico que haya cambiado de nombre. Deja de utilizar directamente el dominio de la denominación anterior, registra uno nuevo y a partir de ese momento, lanza un renovado sitio web. Este sitio funciona correctamente, no hay nada anormal. Pero, ¿qué pasó con el dominio anterior?

La persona responsable simplemente dejó de utilizarlo. Muchísimos datos que corresponden a los clientes, productos, facturas y más, se encuentran asociados a ese dominio. Si la tienda utilizase herramientas de gestión como los CRM (clientes) y MailChimp (e-mail marketing), los cibercriminales podrían obtener aún más información. No sólo de los clientes de la tienda, sino también de los potenciales clientes. Sobre todo porque las campañas de marketing por correo electrónico son una herramienta importante para la captación de nuevos clientes.

Además de acceder a los datos en cuestión, están los correos electrónicos enviados a través de ese dominio. Algunos de los correos pueden ser aquellos que se envían a los clientes para resetear contraseñas. Esos mismos mensajes se pueden reciclar y alterar el contenido de los mismos. Por ejemplo, que parezcan correos de anuncios que has ganado un vale de descuento y que una vez que entres y confirmes tus datos (supuestamente), recibirás el vale. Cosa que finalmente, nunca sucede.
¿Qué hago si tengo un dominio que ya no uso?

Lo mejor que puedes hacer es conservarlo. Esta es la decisión de ciberseguridad más eficaz ante múltiples posibilidades de ataques y vulneraciones a millones de personas a razón de que sus datos personales quedan expuestos. Así también, si vas a pasar a utilizar un dominio diferente por la razón que fuese, hazte con herramientas que puedan reenviar todos los correos electrónicos relacionados del dominio viejo. Y que, a su vez, estos puedan redireccionarlos de acuerdo a las solicitudes realizadas. Por ejemplo, reseteo de contraseñas.

Mucho cuidado con los subdominios

Los subdominios web son tan importantes como los dominios. Recordemos que la estructura esencial de los dominios se presenta así: elsubdominio.eldominio.com

El principal riesgo de dejar de utilizar un subdominio y simplemente abandonarlo es que se puede dar un ataque que se denomina Subdomain Hijacking. Este ataque ocurre cuando el responsable de un dominio cualquiera deja de utilizar un subdominio e ignora la actualización de los registros DNS de los subdominios. El resultado es que estos registros continúan apuntando a un subdominio que ya no se está utilizando o que ya no existe.

Un escenario típico de estos ataques a subdominios se da cuando se crea un subdominio que apunta a un servicio de terceros. Esto se da especialmente cuando se dan integraciones con servicios como Github, Heroku, Shopify y otros. Supongamos que la integración ya no se va a usar y por ende, ya no se necesita del subdominio. En vez de borrar todo lo relacionado al subdominio y al servicio de terceros, se borra solamente lo relacionado al servicio de terceros. Ilustremos este caso con un ejemplo.

Yo tengo un subdominio que tiene la denominación, así como se muestra más abajo. El mismo está asociado a un servicio que está alojado en Github y este se llama "integración": subdominiodeintegracion.dominio.com

Ya no necesito de este servicio llamado "integración" y borro el repositorio correspondiente de Github. Por lo que el subdominio tampoco será de utilidad para mí. Sin embargo, no deshabilité el subdominio.

¿Qué podría suceder? Un cibercriminal puede volver a registrar un servicio de cualquier cosa de carácter malicioso llamado "integración". Se aprovecha de las vulnerabilidades de mi servidor web y sin mucho esfuerzo, puede realizar una integración con ese mismo subdominio pero que realmente podría contar con scripts maliciosos para diferentes ciberataques. Todo esto podría suceder sin que te des cuenta.

Lo mejor que puedes hacer para evitar problemas es tener visibilidad del estado, tanto de los dominios como los subdominios. Si alguno de ellos ya no lo utilizas o no los vas a utilizar, debes deshabilitarlos. Si existen servicios importantes asociados a los dominios (o los subdominios), los mismos también deben ser deshabilitados. Generalmente, esto no toma mucho tiempo. No queda duda que prevendrás varios dolores de cabeza y tus servicios web estarán más seguros.

Fuente: RedesZone

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!