Skip to main content
Blog
Blog

Riesgos de dominios expirados: Un ejemplo real del sitio web de Oracle

Una referencia a un dominio expirado es todo lo que necesita un atacante para ejecutar phishing bajo un origen de confianza. Este blog analiza un ejemplo del código de Oracle.

Nov 25, 2025 5 min read
Expired-domains-breakdown-an-example-from-oracle-website
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

En cside, monitoreamos continuamente los sitios web en busca de cualquier actividad sospechosa para proteger a los usuarios antes de que ocurran ataques. Recientemente, detectamos un caso interesante en un sitio web muy conocido: Oracle.

Al revisar uno de los archivos JavaScript públicos de Oracle, notamos que contenía un enlace a un dominio que ha expirado.

[https://www.oracle.com/asset/web/js/settings-v2.js](https://www.oracle.com/asset/web/js/settings-v2.js)

Este blog destaca los riesgos de los dominios olvidados o expirados en el código del lado del cliente. No se trata de un problema antiguo ni infrecuente: puede ocurrirle tanto a grandes como a pequeñas empresas, y puede abrir fácilmente la puerta a un ataque a la cadena de suministro.

Nota: Nuestro equipo reportó este hallazgo a Oracle, quienes lo corrigieron rápidamente. El propósito de este blog es examinar las implicaciones de seguridad desde una perspectiva defensiva. No debe interpretarse como una guía para la explotación ni para el desarrollo de nuevos vectores de ataque.

El dominio expirado en cuestión

Algunas partes de esta sección están escritas en tiempo presente, ya que fueron tomadas directamente de conversaciones con nuestro analista de seguridad.

El dominio expirado es:

ociforums.com

expired-domain-attack-breakdown-cside
Captura de pantalla: Identificación de un dominio expirado

Visitarlo ahora redirige a:

https://expireddomains.com/domain/ociforums.com

purchase-expired-domain-attack-example-oracle-cside
Captura de pantalla: Compra de un dominio expirado

(la captura de pantalla fue tomada en el momento del descubrimiento; el problema ha sido corregido desde entonces).

Dentro del archivo JavaScript de Oracle, hay una referencia a:

http://ccc.ociforums.com/

expired-domain-vulnerability-detection-cside
Captura de pantalla: Dominio expirado en el código de Oracle (ya corregido)

Este enlace aparece en el código del sitio web como parte de un mensaje que se muestra a los usuarios cuando no hay agentes de chat en vivo disponibles. Como el dominio está expirado y a la venta, cualquier persona podría comprarlo y usarlo con fines maliciosos.

Por qué este dominio expirado representaba un riesgo de seguridad

Este es el fragmento exacto del archivo:

ocFeedback: {
  en: "Sorry, no agents are available... post your question at <a href='http://ccc.ociforums.com/'>http://ccc.ociforums.com/</a>..."
}

Este mensaje se muestra a usuarios que ya están buscando ayuda, por lo que es más probable que confíen en el enlace como una página de soporte legítima de Oracle. Si un atacante comprara el dominio, podrían derivarse varios riesgos:

  1. Phishing: El atacante podría crear un foro falso con la apariencia del de Oracle y engañar a los usuarios para que compartan sus credenciales.
  2. Distribución de malware: El dominio podría servir descargas maliciosas o ejecutar kits de exploits.
  3. Abuso de SEO: Como el dominio podría conservar un buen posicionamiento en buscadores, podría aparecer en búsquedas de soporte de Oracle y llevar a los usuarios al sitio falso.
  4. Daño a la marca: Si los usuarios son engañados, podrían culpar a Oracle y perder la confianza en la marca.

Riesgo a largo plazo: El enlace está codificado directamente en el JavaScript, lo que significa que todos los sitios que usen este widget necesitarían una actualización. Si no se parchea rápidamente, la exposición se prolonga.

Ejemplo de escenario de ataque

  • Un usuario intenta obtener soporte de Oracle, pero no hay agentes disponibles.
  • El mensaje le indica que visite ccc.ociforums.com.
  • El dominio ahora pertenece a un atacante.
  • El usuario hace clic y se le pide que inicie sesión con sus credenciales de Oracle.
  • El atacante recopila las credenciales y también puede distribuir malware o lanzar otras estafas.

Qué hizo el equipo de cside

Nos pusimos en contacto con Oracle y les informamos sobre el problema del dominio expirado. Actuaron con gran rapidez para recuperar el dominio y nos dieron crédito en sus programas de reporte de seguridad. Reconocemos y aplaudimos la rápida respuesta de Oracle.

Esta situación pone de manifiesto cómo la complejidad de los sitios web y la exposición acumulada con el tiempo pueden convertirse en un desafío incluso para organizaciones excepcionalmente bien preparadas ante cualquier incidente de seguridad. La seguridad del lado del cliente es un área que suele pasarse por alto, y lamentablemente esto aplica a empresas de todos los tamaños.

¿Qué podría haber prevenido un ataque con un dominio expirado?

Si desarrollamos el escenario en el que un atacante hubiera obtenido acceso a este dominio: tanto CSP como SRI habrían fallado.

CSP y SRI habrían sido insuficientes:

CSP (Content Security Policy) y SRI (Sub Resource Integrity) son mecanismos de defensa del lado del cliente de uso común. CSP valida el origen de las solicitudes, no si el destino sigue siendo seguro. El navegador permitirá la solicitud independientemente de quién sea el propietario actual del dominio. SRI garantiza la integridad de los archivos únicamente cuando el desarrollador controla el recurso. En este caso, la referencia era un hipervínculo renderizado dentro de la interfaz de usuario, no una dependencia de script externo protegida por un hash.

La seguridad del lado del cliente detecta señales de un ataque con dominio expirado:

Una plataforma de seguridad del lado del cliente como cside observa continuamente el comportamiento de los scripts en tiempo de ejecución. Si un dominio comienza de repente a emitir redirecciones, capturar pulsaciones de teclas, servir JavaScript inesperado o devolver patrones de respuesta inusuales, ese cambio de comportamiento se convierte de inmediato en una señal de alerta. Se activaría una notificación para que los equipos de seguridad puedan investigar.

Juan Combariza
Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

FAQ

Frequently Asked Questions

cside monitorea el comportamiento de los scripts en tu sitio web. Si un dominio que antes era inofensivo comienza de repente a servir JavaScript sospechoso, redirigir usuarios o realizar llamadas de red inesperadas, cside detecta ese cambio de comportamiento en tiempo real y alerta a tu equipo para que lo revise.

Cuando un dominio expira, cualquier persona (incluidos los atacantes) puede comprarlo. Si tu sitio web obtiene código de ese dominio a través de un script de terceros, ese código puede ser modificado y servido a tus usuarios desde un "dominio de confianza". Los atacantes también pueden usar dominios expirados para abuso de SEO o redirecciones de phishing.

No. CSP no bloquearía un dominio si está configurado como fuente "de confianza", aunque un nuevo propietario tome el control del dominio.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad
Related Articles
Reservar una demo