ciberseguridad-enter

¿Qué es el sombreado de dominios y por qué interesa saberlo?

Por: ENTER

Solo entre abril y junio de 2022 se reportaron 12.197 casos del sombreado de dominios.


Cada vez es más común que los ciberdelincuentes usen una técnica llamada ‘sombreado de dominio’ para cometer sus actos. Esta práctica está en aumento y es importante que sepas cómo detectarla para protegerte cuando estés navegando en internet.

Un equipo de analistas de amenazas de Palo Alto Networks descubrió que esta técnica puede ser más común de lo que se pensaba. Solo entre abril y junio de 2022 se reportaron 12.197 casos del sombreado de dominios. Esta es una subcategoría del secuestro del DNS, con el que los hackers comprometen un sitio legítimo y allí alojan unos subdominios para sus actividades maliciosas.

El secreto está en que este proceso no modifica las entradas de DNS ya existentes y por ello es tan difícil de detectar. En los subdominios se crean páginas maliciosas y todo sucede sin que los propietarios se den cuenta de que han sido vulnerados. El propósito es aprovechar la buena reportación de estos dominios para esquivar los controles de seguridad. Este nivel de filtración les permite a los atacantes cambiar los registros DNS del sitio web y llegar hasta los usuarios y propietarios, pero normalmente optan por un camino más sigiloso.

Los investigadores hallaron que es muy difícil detectar el sombreado de dominios y por eso es una táctica tan atractiva para los delincuentes. Incluso, se refirieron a que la firma VirusTotal marcó solo 200 dominios como maliciosos de los 12.197 descubiertos por Palo Alto. La mayoría de estas detecciones están relacionadas con una campaña de phishing que utilizaba una red de 649 dominios ocultos en 16 sitios web comprometidos.

Lo más inquietante es que las páginas de ‘phishing’ que están en dominios con buena reputación parecían confiables para los visitantes. Esto eleva la probabilidad de enviar datos a este tipo de páginas confiados en que son legales. De hecho, los subdominios de phishing eluden fácilmente la detección de seguridad de los correos electrónicos, porque no alojan nada malicioso y tienen buena reputación.

La recomendación para los usuarios es que verifiquen dos veces antes de entregar sus datos o introducir sus credenciales en páginas de dominios de buena reputación.