DNS, aliado contra el scam y amenazas oportunistas
A primeros de año alertábamos de las principales amenazas de ciberseguridad que preveíamos para 2022, en base a las tendencias detectadas hasta entonces.
Mencionábamos los ataques a la cadena de suministro, las estafas vinculadas a las criptomonedas, los riesgos crecientes de exfiltración de datos o las cada vez más habituales y sofisticadas campañas de phishing y ransomware.
La invasión rusa de Ucrania, y la consiguiente crisis humanitaria desatada a raíz de la misma, no sólo ha venido a confirmar el cumplimiento de dichas previsiones, sino también un auge inesperado de determinados tipos de ciberdelincuencia, surgidos o incrementados al calor de la ola de solidaridad que se ha producido en todo el mundo como consecuencia de la guerra.
En concreto, podemos mencionar el notable incremento de las campañas de phishing y ransomware soportadas en dos pilares fundamentales: la generación de múltiples sitios web fraudulentos y el uso de criptomonedas como vehículo de canalización de pagos.
Efectivamente, desde que estalló el conflicto se ha detectado un notable incremento en el número de nuevos nombres de dominio registrados relacionados con la invasión de Ucrania y la crisis humanitaria desencadenada como consecuencia de ella. Los ciberdelincuentes están aprovechando este movimiento mundial de solidaridad para crear sitios fraudulentos que suplantar o imitar esfuerzos de apoyo humanitario genuinos.
Una de las mayores dificultades para identificar las actividades fraudulentas es que las diferentes iniciativas humanitarias – tanto legítimas como fraudulentas - se están realizando en forma de Organizaciones Anónimas Descentralizadas (DAO). Este tipo de organizaciones surgen de forma espontánea en este tipo de crisis, con un objetivo específico, son propiedad de los miembros que la forman pero carecen de un liderazgo centralizado o único. A menudo utilizan tecnología de blockchain para canalizar las transacciones financieras.
En efecto, estamos siendo testigos de un auge en el uso por parte de los ciberdelincuentes de varias modalidades de scam, es decir, estafas realizadas por medios electrónicos, habitualmente a través de correos electrónicos o de páginas web fraudulentas, que han modificado ligeramente su enfoque para adaptarse de forma oportunista a la realidad política.
Así, se han identificado, vinculadas ahora a la guerra de Ucrania o a las iniciativas humanitarias, campañas como la de la oferta de “tarjetas regalo”, que explotan el nombre de marcas muy conocidas en el mercado y que utilizan como vector de ataque correos electrónicos. También se han detectado campañas del tipo “timo del príncipe nigeriano” (llamado 419 scam), en una nueva versión, la de un determinado personaje que pide ayuda para sacar de Ucrania una gran cantidad de dinero, así como múltiples ejemplos de fraude de donaciones.
DNS, una herramienta para impedir la redirección a sitios fraudulentos
Todos estos fraudes tienen como punto en común la redirección de la víctima a un sitio web fraudulento de un dominio recién registrado. Dicho dominio se utiliza para enviar correos electrónicos no deseados y redirigir a las víctimas a sitios web fraudulentos que, a su vez, solicitan a las víctimas que completen un formulario web o una encuesta y proporcionen datos personales o que realice un pago de dinero a través de un monedero de criptomonedas.
Por ello, el DNS juega un papel clave en la propagación de este tipo de amenazas ya que el DNS está presente en todas y cada una de las peticiones que se hacen a cualquier servicio en Internet. Ya sea si vamos a una red social o a un servicio corporativo, siempre, antes de esa conexión vamos a realizar una petición de DNS, es decir, de forma intrínseca, todo el malware utiliza DNS para propagarse.
Utilizar DNS como herramienta de protección significa que se puede actuar mucho más rápido, en segundo lugar crear una postura de seguridad de modo que cualquier elemento de la red utilice esa protección, y en tercer lugar reducir el tiempo al que se está expuesto a dicha amenaza y por tanto el daño causado. Una gestión segura de DNS permite, por ejemplo, interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo. En definitiva, en este tipo de amenazas, DNS se perfila no sólo como un activo de TI a proteger, sino más bien como una potente herramienta de seguridad.
Jose Concepción, Country Manager Iberia & Israel, Infoblox
Jose Concepción de Infoblox
