Un reciente estudio liderado por WatchTowr Labs, en colaboración con la Fundación Shadowserver, ha expuesto un grave problema de seguridad digital: la reutilización de infraestructuras abandonadas por ciberdelincuentes. Al registrar dominios que previamente habían caducado, los investigadores lograron tomar el control de más de 4.000 puertas traseras activas, demostrando lo fácil que resulta para actores maliciosos explotar estas vulnerabilidades.
Puertas traseras: herramientas de acceso permanente
Las puertas traseras, o web shells, son piezas de código malicioso instaladas en servidores comprometidos para proporcionar acceso remoto no autorizado. Permiten a los atacantes ejecutar comandos, extraer datos y mantener el control sobre un sistema incluso después de haberlo comprometido.
El estudio de WatchTowr reveló que muchas de estas herramientas siguen activas durante años, intentando comunicarse con servidores de comando y control (C2) cuyos dominios ya no están operativos. Cuando estos dominios caducan, cualquiera que los registre puede heredar el control sobre las puertas traseras vinculadas.
El experimento: registrando dominios caducados
Metodología
Los investigadores identificaron más de 40 dominios utilizados por puertas traseras activas que habían caducado. Registraron los dominios y configuraron un sistema de registro para capturar el tráfico entrante.
Resultados
El experimento reveló:
- 4.000 sistemas comprometidos conectándose a los nuevos dominios registrados.
- Presencia de puertas traseras en servidores gubernamentales de China, Nigeria y Bangladesh.
- Universidades y centros educativos comprometidos en Corea del Sur, Tailandia y China.
- Uso de herramientas de ataque conocidas como:
- r57shell y c99shell: populares por su funcionalidad avanzada, incluyendo ejecución de comandos y gestión de archivos.
- China Chopper: una web shell frecuentemente asociada a grupos de amenazas persistentes avanzadas (APT).
Acceso sin esfuerzo
El estudio demostró que registrar un dominio caducado por un coste mínimo permite heredar el acceso a sistemas previamente comprometidos. Según los investigadores, esto equivale a «apropiarse del trabajo de otros atacantes sin esfuerzo adicional».
Implicaciones para la seguridad digital
El problema de los dominios caducados resalta un aspecto crítico de la ciberseguridad: la gestión de infraestructuras abandonadas.
Riesgos identificados
- Reutilización por actores maliciosos: Los ciberdelincuentes pueden aprovechar dominios caducados para recuperar control sobre sistemas previamente comprometidos o lanzar nuevos ataques.
- Sistemas sensibles expuestos: La presencia de puertas traseras en redes gubernamentales y educativas evidencia la falta de controles de seguridad robustos en infraestructuras críticas.
- Escalabilidad del problema: Dado el bajo coste y la facilidad de ejecución, esta técnica podría ser ampliamente adoptada por grupos maliciosos.
Lecciones clave
La investigación pone de manifiesto que los sistemas comprometidos no solo representan un riesgo en el momento del ataque inicial, sino que también pueden ser reutilizados mucho tiempo después si las infraestructuras asociadas no se gestionan adecuadamente.
La solución: hundimiento de dominios con Shadowserver
Para evitar que los dominios recuperados vuelvan a caer en manos maliciosas, WatchTowr transfirió su control a la Fundación Shadowserver. Esta organización sin ánimo de lucro se encarga ahora de «hundir» el tráfico dirigido a estos dominios, redirigiéndolo a servidores seguros para evitar su reutilización.
Shadowserver también proporciona análisis de seguridad basados en los datos recopilados, ayudando a mitigar los riesgos asociados con los sistemas comprometidos.
Hacia una gestión más proactiva de la ciberseguridad
Recomendaciones para proteger infraestructuras
- Auditorías periódicas: Empresas y gobiernos deben revisar regularmente sus redes para detectar y eliminar puertas traseras activas.
- Monitoreo de dominios: Implementar sistemas que supervisen la caducidad de dominios utilizados en operaciones críticas.
- Colaboración internacional: La cooperación entre organizaciones como Shadowserver y empresas de seguridad es esencial para abordar estos problemas globalmente.
Impacto a largo plazo
La gestión de infraestructuras abandonadas debe convertirse en una prioridad estratégica. Este estudio demuestra cómo una vulnerabilidad aparentemente secundaria puede convertirse en una herramienta poderosa para los atacantes, comprometiendo incluso sistemas sensibles.
Conclusión
La reutilización de dominios caducados en operaciones de malware subraya la importancia de una ciberseguridad proactiva. El caso de WatchTowr Labs y Shadowserver no solo evidencia un fallo en la gestión de infraestructuras, sino que también ofrece una solución temporal a un problema creciente. La industria de la seguridad debe actuar ahora para mitigar este riesgo y garantizar que las puertas traseras abandonadas no se conviertan en una puerta de entrada para futuros ataques.
