En 2018, British Airways fue atacada mediante la explotación de un paquete JavaScript de terceros que se ejecutaba en su sitio. El script fue comprometido y los atacantes agregaron líneas de código que copiaban automáticamente todos los detalles de tarjetas de crédito y transacciones de los clientes a un nuevo dominio: baways.com. Este dominio fue comprado astutamente por los atacantes unos días antes de la operación.
Actualmente, cside es propietaria de baways.com. Si visitas el sitio, encontrarás una explicación de todo el ataque de principio a fin. El dominio ahora es completamente seguro y sirve para fines educativos.
Sin embargo, la pregunta que planteamos es esta: ¿Cómo pudimos obtener un dominio previamente utilizado en un ciberataque?
Cómo adquirimos baways.com
Cuando ocurrió el ataque, el dominio estaba alojado en Rumania por un proveedor de hosting lituano que ofrecía servidores virtuales a tarifas accesibles.
Hoy en día, cside puede detectar tales anomalías y prevenir problemas similares. Desafortunadamente, no estábamos disponibles en ese entonces. Puedes aprender más sobre cómo ocurrió este ataque leyendo el artículo completo en baways.com.
El revuelo en torno a este ataque disminuyó después de octubre de 2020 cuando British Airways recibió una multa récord por una violación de datos. Inicialmente establecida en £183 millones, luego reducida a £20 millones. Después de julio de 2021, concluyeron el asunto al llegar a un acuerdo legal con los clientes afectados.
A medida que la cobertura noticiosa del incidente finalmente se detuvo, el mundo siguió adelante.
Entonces, ¿cómo logramos adquirir el dominio utilizado en el ataque más grande de su tipo en ese momento?
Aunque nos gustaría compartir una historia intrincada de búsqueda en foros dudosos y negociación de acuerdos sombríos, la verdad es en realidad más inquietante. Lo compramos en un registro público.
Unas semanas antes de que cside se estableciera oficialmente, nuestro fundador tuiteó lo siguiente:
Mientras revisaba la investigación para lo que eventualmente se convertiría en cside, examinó artículos sobre la violación de datos de British Airways. Durante esta investigación, el dominio en cuestión llamó su atención. Para su asombro, estaba disponible para que cualquiera lo reclamara.
Comprar un dominio expirado que estuvo involucrado en un ciberataque es preocupante por varias razones:
Acceso a datos
Obtener el control sobre un dominio con uso previo puede dar acceso a los datos más privados.
Inti De Ceukelaire, un experto en ciberseguridad de Bélgica, compartió esta publicación de blog en mayo de 2024. Había comprado varios dominios expirados que anteriormente pertenecían a servicios policiales locales e instituciones sociales en Bélgica.
Terminó comprando más de 100 dominios y reportó lo siguiente:
"Para las 848 direcciones de correo electrónico que pude identificar en una semana, obtuve exitosamente los correos de restablecimiento de contraseña para 80 cuentas de Dropbox, 142 cuentas de Google Drive, 57 cuentas de Microsoft / OneDrive / SharePoint, y una docena de cuentas de Smartschool y Doccle. Me di cuenta de que al comprar estos dominios, había obtenido acceso a toneladas de información sensible de ciudadanos almacenada en las cuentas en la nube vinculadas a estas direcciones de correo electrónico".
Así como:
"Estos no fueron los únicos correos que comencé a recibir. Sorprendentemente, años después de que estas direcciones de correo fueron abandonadas, aún recibían información extremadamente sensible [...]. Información confidencial de justicia, información sobre detenidos liberados y defensores públicos, recordatorios de pago para personas endeudadas, correos relacionados con la salud o situación social de personas vulnerables, invitaciones a comités especiales, [...]"
Puedes leer su investigación completa aquí.
Perder la confianza en tu marca
El Royal Mail en el Reino Unido utiliza dominios de apariencia inusual que pueden socavar la confianza. Esto es evidente en otro tuit (publicación de X) que publicamos después de encontrarnos con este problema nosotros mismos. Aunque podemos estar más alertas a este problema, estamos seguros de que no somos los únicos incómodos con hacer clic en tales enlaces.
Lo que empeoró la situación fue que su propio equipo de soporte respondió afirmando que esto era un mensaje de phishing. Pero eso era incorrecto. Un tuit anterior de Royal Mail utilizaba el mismo dominio como acortador de URL. Esto socava la confianza con usuarios atentos, demostrando claramente que las empresas han perdido el rastro de sus propios nombres de dominio.
Usaremos HubSpot como ejemplo final. Tienen docenas de dominios con diferentes niveles de estructura. Estos dominios se utilizan en varios scripts y en diferentes plataformas:
- hubspot.com
- hs-scripts.com
- hs-banner.com
- hs-analytics.net
- hubapi.com
- hsforms.com
- hscollectedforms.net
- ...
El riesgo aquí es que las personas puedan encontrarse con estos dominios en scripts y no confiar en ellos, o facilitar que un actor malicioso compre un dominio que parezca legítimo ya que sigue un formato similar a los otros dominios.
Los dominios se utilizan en scripts antiguos de terceros
Recientemente informamos sobre el ataque de Polyfill. Un dominio que era utilizado por un proyecto de código abierto fue comprado. Luego se descubrió que el dominio estaba inyectando código malicioso. Este código generaba dinámicamente cargas útiles basadas en encabezados HTTP, activándose solo en dispositivos específicos, evadiendo la detección, evitando usuarios administradores y retrasando la ejecución.
En algunos casos, los usuarios reciben archivos JavaScript manipulados, que incluyen un dominio con errores tipográficos googie-anaiytics[.]com/gtags.js. Este enlace redirige a los usuarios a varios sitios web de apuestas deportivas y para adultos según su región. Pero siendo JavaScript, podría en cualquier momento introducir nuevos ataques como formjacking, clickjacking y robo de datos más amplio.
En el ataque de Polyfill, el servicio estaba desactualizado y ya no era necesario en su mayor parte. Sin embargo, el dominio permaneció activo en miles de sitios web.
Si no es el dominio el que se compra, las herramientas pueden quebrar, quedar obsoletas o dejar de recibir actualizaciones. Cuando esto sucede, algunos sitios web no logran eliminar los scripts desactualizados de su código. Si el antiguo dominio o script de una empresa desaparecida es adquirido, se integra automáticamente en miles de sitios web, creando una vía fácil para ataques.
Muchas herramientas de seguridad solo verifican las fuentes de los scripts, lo que en estos casos mencionados no sería suficiente. Los ataques simplemente fluirían sin ser detectados. Lee más sobre este problema aquí.
La necesidad de monitorear tus scripts
Esta es una de las razones por las que PCI DSS 4.0 requerirá el monitoreo y escaneo de scripts en portales de pago para marzo de 2025. cside hace esto automáticamente, incluso asegurando scripts de terceros cada vez que un usuario carga una página. Esto se hace en todo tu sitio, no solo en portales de pago, lo que incluso va más allá de sus recomendaciones. Lee aquí para entender por qué esto es crítico para la seguridad de tu sitio web.
Cómo resolver la amenaza de dominios expirados
Este es un problema multifacético. Simplemente comprar un dominio expirado no es ilegal. Sin embargo, si un nombre de dominio está registrado como marca, entonces comprarlo (conocido como ciberocupación) podría potencialmente violar las leyes de derechos de autor. Pero esto no disuadirá a los atacantes que generalmente permanecen anónimos y sin ser detectados.
Obtener acceso a correos electrónicos enviados a un dominio previamente propiedad de otra persona (u otra empresa) es un área gris legal y éticamente. Mientras que algunos países tienen leyes que te impiden abrir correo físico dirigido a otra persona, la aplicación de estas leyes a los correos electrónicos a menudo está abierta a debate.
Las leyes que abordan la comunicación electrónica típicamente prohíben la interceptación de comunicación entre participantes que no consienten o no están al tanto. Sin embargo, en el caso de correos electrónicos enviados a un dominio expirado, se podría argumentar que el destinatario es el propietario legítimo del nombre de dominio y, por lo tanto, el destinatario previsto.
Las leyes de privacidad también prohíben compartir y procesar datos de individuos sin su consentimiento. Entonces, al enviar contenido a una dirección de correo expirada, el remitente puede en realidad violar indirectamente los derechos de privacidad del destinatario debido a la falta de diligencia debida en la dirección de correo electrónico. Un problema completamente diferente en sí mismo.
Como puedes ver, este es un problema que es mejor evitar por completo si puedes.
Como empresa o propietario de un sitio web, intenta retener dominios con uso previo, especialmente aquellos utilizados para crear cuentas y transferir datos. Obtener dominios similares y prevenir que los atacantes los usen (esto se llama ciberocupación) también debe considerarse. Incluso si esto podría potencialmente agregar costos anuales no deseados.
Si no puedes, o al cambiar dominios y direcciones de correo electrónico, es importante proporcionar un período de ajuste razonable para las personas. Si es posible, mejora las medidas de seguridad y configura notificaciones de respuesta automática para aquellos que intentan hacer contacto durante y después de esta transición.
Para proteger tu sitio de actos maliciosos causados por scripts de terceros y dominios en esos scripts, cside está aquí. Hacemos proxy de todos los scripts de terceros en tu sitio y verificamos cada sesión antes de que el código se renderice en los navegadores de tus usuarios.
Puedes comenzar gratis y encontrar nuestros planes de precios aquí.
