Los ciberdelincuentes están constantemente buscando nuevas vías para perpetrar sus fechorías. Recientemente, investigadores de seguridad han destapado un uso inaudito de una herramienta que muchos consideramos inofensiva: un servicio de acortamiento de URLs. A través de un ingenioso análisis de datos DNS, los expertos han sacado a la luz una red masiva que va mucho más allá de simples estadísticas de tráfico web y que plantea significativas implicaciones para la seguridad en línea.
Un sujeto apodado Prolific Puma por expertos en seguridad ha ofrecido servicios de acortamiento de enlaces a delincuentes digitales por sobre cuatro años, logrando mantenerse bajo el radar y evitando la detección. En un periodo menor a un mes, Prolific Puma ha activado miles de dominios, gran cantidad bajo el dominio de nivel superior estadounidense (.usTLD), facilitando la propagación de phishing, fraudes y software malicioso.
Especialistas de Infoblox, una compañía de seguridad especializada en DNS que examina más de 70 mil millones de consultas DNS al día, descubrieron la actividad de Prolific Puma hace seis meses. El hallazgo se produjo tras identificar un algoritmo para generar nombres de dominio registrados (RDGA), usado para crear dominios para el acortador de URLs malintencionado.
Con el uso de sistemas de detección DNS avanzados, lograron seguir el rastro de la red maliciosa, observando cómo explotaban el dominio de nivel superior de EE. UU. para perpetrar crímenes cibernéticos. La naturaleza de los servicios de acortamiento de URLs solo permitió a Infoblox seguir los enlaces cortos, sin acceso a la página de destino final, a pesar de identificar una gran red de dominios sospechosos interrelacionados.
Algunos enlaces cortos de Prolific Puma redirigían directamente a la página deseada, mientras que otros llevaban a través de varias redirecciones, incluyendo más enlaces acortados, antes de alcanzar su objetivo final. Infoblox observó que en algunos casos, al hacer clic en el enlace corto, los usuarios eran dirigidos a un CAPTCHA, probablemente como un medio para esquivar los análisis automáticos.
La variabilidad en los resultados al seguir los enlaces cortos de Prolific Puma llevó a los investigadores a suponer que múltiples actores maliciosos podrían estar utilizando el servicio. Los métodos para distribuir estos enlaces son diversos, incluyendo redes sociales y publicidad online; sin embargo, los indicios sugieren que los mensajes de texto son el vehículo predominante de propagación.
Te podría interesar leer: Espada de Doble Filo: Acortadores de Enlaces
Analizando la red del agente en cuestión, al comienzo de año se detectó un día en el que se crearon cerca de 800 dominios de hasta cuatro caracteres. La expansión de los dominios de Prolific Puma abarca 13 TLD diferentes. Sin embargo, desde mayo de este año, más de la mitad de los dominios creados han utilizado el usTLD, con un promedio de 43 dominios diarios.
Desde mediados de octubre, se percibió que 2,000 dominios bajo usTLD habían sido cerrados, lo que sugiere una actividad intensa de Prolific Puma escondida detrás de servicios de registro privado. Es importante destacar que, según la normativa vigente, los registros privados no están permitidos en el espacio de nombres .US, y se requiere que el registrante proporcione información precisa y veraz. Adicionalmente, los registradores están obligados a no ofrecer servicios de registro de dominio privados para los dominios .US.
Los dominios asociados a Prolific Puma suelen ser alfanuméricos, de carácter pseudoaleatorio y varían en longitud, predominando los de tres o cuatro caracteres, aunque se han identificado dominios de hasta siete caracteres. En los últimos tres años, el agente ha utilizado principalmente servicios de NameSilo para el alojamiento, un registrador de dominios conocido por su economía y que es frecuentemente explotado por ciberdelincuentes, ofreciendo una API para registros en masa.
Para sortear la detección, Prolific Puma ha practicado el "envejecimiento" de sus dominios, dejándolos inactivos o estacionados durante semanas. En ese lapso, se llevan a cabo algunas consultas DNS para construir una reputación. Cuando los dominios están listos para usarse, se transfieren a un proveedor de hosting resistente a acciones legales, usualmente pagando en Bitcoin por un servidor privado virtual que incluye una dirección IP dedicada.
Se ha observado que algunos de estos dominios se abandonan tras un tiempo, aunque los registros DNS continúan apuntando a la IP dedicada. La creencia es que Prolific Puma se limita a proporcionar el servicio de enlaces cortos sin manejar las páginas a las que dirigen estos enlaces, aunque no se descarta la posibilidad de que el mismo agente maneje toda la cadena de operaciones.
Te podría interesar leer: Detección de Amenazas en Servidores DNS con Wazuh
La utilización de este servicio de acortamiento de URLs por parte de ciberdelincuentes tiene ramificaciones graves. En primer lugar, camufla el destino final de un enlace, facilitando la difusión de malware, phishing y otras estafas en línea. Además, la simplicidad de crear URLs cortas permite a los criminales generar una cantidad abrumadora de enlaces maliciosos, sobrepasando los esfuerzos de detección y eliminación.
Asimismo, estos enlaces pueden dispersarse rápidamente a través de las redes sociales, mensajes de correo electrónico y otras plataformas, aumentando exponencialmente el alcance y la efectividad de los ataques cibernéticos.
En este contexto, es esencial adoptar prácticas de seguridad robustas. Los usuarios deben ser cautelosos al hacer clic en enlaces cortos y considerar el uso de herramientas de expansión de URLs que revelen la dirección web real antes de visitarla. Además, es crucial mantener actualizado el software de seguridad y educar a las personas sobre los riesgos de seguir enlaces desconocidos.
Por otra parte, las plataformas que ofrecen servicios de acortamiento de URLs deben implementar medidas de seguridad más estrictas, como el análisis de los enlaces para detectar contenido malicioso y la eliminación proactiva de URLs que se encuentran vinculadas a actividades ilegales.
Podría interesarte leer: ¿Tu software está al día?: Importancia de los Parches
El descubrimiento de esta red de acortamiento de URLs vinculada al cibercrimen sirve como un recordatorio de que incluso las herramientas aparentemente inocuas pueden ser explotadas para fines nefastos. Mientras que la innovación tecnológica continúa ofreciendo nuevas oportunidades para simplificar nuestras vidas digitales, también abre puertas a nuevas amenazas.
El futuro de la seguridad en línea dependerá en gran medida de nuestra capacidad para anticipar y adaptarnos a estas tácticas criminales. Esto no solo incluye el desarrollo de tecnología de seguridad avanzada, sino también la colaboración internacional entre agencias de aplicación de la ley y la comunidad de seguridad cibernética.
El hallazgo de este servicio de acortamiento de URLs relacionado con el cibercrimen es un llamado a la acción. Revela la necesidad de una vigilancia constante y un compromiso con prácticas de seguridad en línea más inteligentes tanto por parte de los usuarios como de los proveedores de servicios digitales.
A medida que avanzamos en la era digital, es imperativo que tomemos medidas proactivas para protegernos contra las amenazas que acechan en las sombras de herramientas cotidianas. La seguridad en línea es un esfuerzo colectivo, y cada uno de nosotros tiene un papel que desempeñar en la creación de un ciberespacio más seguro para todos.