¿Qué es el secuestro de dominios?

¿Qué es el secuestro de dominios?

Estamos ante un caso de secuestro de dominio cuando un atacante toma el control de un nombre de dominio, normalmente mediante ingeniería social. Un nombre de dominio es la dirección única y fácil de recordar que se utiliza para conectar a los usuarios con los sitios web, y la base sobre la que se construye la identidad pública de una organización en Internet.

Cuando un atacante consigue secuestrar un dominio, el propietario legítimo pierde el control de todos sus servicios vinculados al dominio. Esto incluye el contenido del sitio web, el correo electrónico corporativo, los centros de llamadas de VoIP, los servicios de almacenamiento en la nube y otras aplicaciones relacionadas con el dominio. Por eso, el secuestro de nombres de dominio es una de las mayores amenazas en línea para la marca, los ingresos y la reputación.

¿Cómo funcionan los dominios?

Los nombres de dominio facilitan el acceso a los sitios web sin tener que recordar direcciones IP alfanuméricas. Los nombres de dominio se relacionan con las direcciones IP gracias al sistema de nombres de dominio (DNS), que funciona como las páginas amarillas de Internet.

Los dominios se establecen a través de registradores de nombres de dominio. Por lo que respecta a obtener un dominio, existen dos factores clave: los registradores y los registros. Pensemos en los registros (como VeriSign) como mayoristas, y en los registradores como minoristas. Los registros son los propietarios de la base de datos de todos los dominios registrados en un TLD. Delegan la reserva de los nombres de dominio disponibles a los registradores. A su vez, los registradores —de los cuales hay miles— "venden" (o más bien alquilan) nombres de dominio a los usuarios finales durante un determinado periodo de tiempo.

Los nombres de dominio tienen dos o tres partes, y cada una de estas está separada por un punto. Cuando se leen de derecha a izquierda, los identificadores de los nombres de dominio van de lo más general a lo más específico:

• La sección a la derecha del último punto de un nombre de dominio es el dominio de nivel superior (TLD). Algunos ejemplos de TLDs son ".com", ".net", ".co", ".uk" e ".in".
• A la izquierda del TLD está el dominio de segundo nivel (2LD), y en caso de que haya algo a la izquierda del 2LD, se llama dominio de tercer nivel (3LD).

Para evitar las modificaciones no autorizadas de nombres de dominio, los propietarios pueden aplicar bloqueos del "cliente" (bloqueos de registrador) a través de su registrador. Los registros aplican bloqueos de "servidor", que también se conocen como bloqueos de registro. Sin embargo, si un atacante consigue acceder a la cuenta de forma adecuada, puede eliminar los bloqueos de dominio y hacer cambios no autorizados en el registrador.

¿Cómo se produce el secuestro de dominios?

Hay muchas formas de secuestrar un dominio. Por ejemplo:

• Ingeniería social y timos de phishing: en términos generales, la ingeniería social se define como todo ataque que manipule a las personas para que entreguen información confidencial. Por ejemplo, un atacante envía a su víctima elegida un correo electrónico de phishing que parece legítimo y que parece provenir del registrador. El destinatario hace clic en uno de los enlaces del correo electrónico, pensando que lo llevará al sitio web del registrador, pero en realidad lo lleva a un dominio falsificado que ha sido creado para robar las credenciales de inicio de sesión del registrador.
• Explotación de dominios inactivos o que caducan: la mayoría de los nombres de dominio solo se pueden registrar por un máximo de 10 años. Es responsabilidad del registrador alertar a sus clientes cuando sus dominios estén a punto de caducar. Sin embargo, si el usuario final no renueva correctamente su dominio (o no lo desactiva correctamente ), un atacante puede comprar y explotar el dominio.
• Infracciones de los registradores: los atacantes también pueden aprovechar las vulnerabilidades de los registradores. Por ejemplo, cuando Squarespace estaba migrando aproximadamente 10 millones de nombres de dominio desde Google Domains, los atacantes aprovecharon un fallo que les permitía apoderarse de cuentas y modificar registros DNS (especialmente los de ciertas compañías de criptomonedas y blockchain). Luego, los atacantes redirigían a los visitantes web a sitios de phishing que intentaban robar tokens y otras monedas digitales.
• Claves API en riesgo: las claves API y otros tokens de autenticación están diseñados para permitir que las aplicaciones accedan a cuentas en línea, como ciertos servicios de dominio, a través de una API. Si esas claves quedan expuestas o se filtran accidentalmente, podrían permitir acceso a la cuenta del registrador de una organización.

¿Cuál es el impacto del secuestro de dominios?

Una vez que los atacantes logran comprometer un dominio, pueden interrumpir muchas operaciones en los sitios web . Estas son algunas de las cosas que pueden hacer:

• Cambiar los contenidos del sitio original
• Redirigir a los visitantes web a un sitio malicioso
• Desviar los pagos en línea a cuentas que controla el atacante
• Enviar correos electrónicos no deseados y de phishing desde el servidor de correo del dominio
• Leer correos electrónicos confidenciales enviados a las bandejas de entrada de una corporación
• Cambiar las llamadas API para interrumpir las aplicaciones móviles y otros servicios digitales de una organización

Transferir dominios entre registradores es bastante sencillo, pero recuperar un dominio robado es muy difícil. Puede llevar semanas, o incluso meses. Es posible que requiera incluso iniciar acciones legales. Parte de la dificultad es que la documentación adecuada puede estar alojada en sistemas (como el correo electrónico corporativo) a los que el propietario del dominio original ya no puede acceder. El dominio se podría recuperar en unos días, o también existe la posibilidad de que el propietario original (legítimo) nunca recupere el dominio robado.

Independientemente del resultado, un dominio secuestrado puede ocasionar graves consecuencias financieras, de reputación e incluso regulatorias.

Secuestro de dominios vs. suplantación de dominio

En el secuestro de dominio, el atacante roba el nombre de dominio registrado de manera legítima. En la suplantación de dominio los ciberdelincuentes crean un sitio web o un dominio de correo electrónico falsos para intentar engañar a los usuarios, al igual que un estafador que muestra a alguien credenciales falsas para ganar su confianza. Los atacantes no necesitan apoderarse de una cuenta de un registrador para suplantar un dominio.

Secuestro de dominio vs. secuestro de DNS

El secuestro de dominio, que pone en riesgo el dominio en sí, es diferente del secuestro de DNS (que también se conoce como envenenamiento de DNS). En el secuestro de DNS, un atacante se dirige al registro DNS del sitio web en el NS.

Los registros del NS básicamente indican a Internet adónde ir para encontrar la dirección IP de un dominio. Si los registros del NS están mal configurados (es decir, "envenenados"), los atacantes pueden desviar las solicitudes a otro servidor de nombres de dominio. En lugar de cargar el sitio web o la aplicación correctos, por ejemplo, el tráfico de los usuarios se puede desviar a un destino que es una réplica del sitio original, pero que distribuye malware.

Cómo evitar el secuestro de dominios

La forma más sencilla que tienen las organizaciones para protegerse del secuestro de dominios es contar con un registrador de nombres de dominios de buena reputación que ofrezca sólidas medidas de seguridad. Busca las siguientes funciones:

• Autenticación en dos fases (2FA): la 2FA exige que todos los titulares de cuentas de los registrantes demuestren su identidad de dos maneras diferentes antes de que se les otorgue acceso.
• Privacidad para el registro de dominios: los servicios de privacidad de dominios pueden ocultar la información de contacto del registrante de dominios de los registros públicos.
• Bloqueo del registrador: muchos registradores del mercado masivo admiten el bloqueo del registrador, lo que evita que el registro altere la información salvo que el registrante elimine explícitamente el bloqueo.
• Bloqueo del registro: el bloqueo del registro permite un nivel superior de seguridad que requiere varias fuentes y pasos de verificación independientes y fuera de línea.
• Periodos de gracia de renovación: un periodo de gracia luego del vencimiento ayuda a los clientes que no cumplieron con la fecha límite de vencimiento. Esto puede afectar incluso a los usuarios que tenían activada la renovación automática, en caso de que sus tarjetas de crédito registradas hubiesen vencido. Elegir un registrador con un periodo de gracia es fundamental para evitar que los atacantes exploten los dominios que caducan.

Cómo ayuda Cloudflare a prevenir el secuestro de dominios

El servicio de registrador de nombres de dominio de Cloudflare, Cloudflare Registrar, ofrece a los clientes del plan Enterprise una protección personalizada de dominio para evitar el secuestro de dominios. Con la protección personalizada de dominios, cualquier cambio en la propiedad del dominio o en el NS se verifica y ejecuta manualmente. El estricto protocolo de cambio garantiza que cualquier cambio sea aprobado directamente por las organizaciones.

Cloudflare Registrar también incluye DNSSEC universal integrado en todos los dominios para protegerlos de una amplia variedad de ataques basados en DNS.