Cuando navegamos por internet, confiamos en que las conexiones seguras y los servicios populares nos protejan de posibles amenazas. Pero, ¿qué sucede cuando los mismos sistemas en los que confiamos son utilizados por atacantes para fines maliciosos? Este es el caso de los dominios de desarrolladores de Cloudflare, una herramienta esencial para programadores que, en manos equivocadas, se ha convertido en un poderoso recurso para phishing, malware y otras amenazas.
Los dominios 'pages.dev' y 'workers.dev' de Cloudflare, diseñados para alojar páginas web y manejar tareas sin servidor, están siendo cada vez más explotados por ciberdelincuentes para ataques de phishing y otras actividades maliciosas. Según la firma de ciberseguridad Fortra, el uso indebido de estos dominios se disparó entre un 100% y un 250% en comparación con 2023.
¿La razón? Los hackers los prefieren porque parecen legítimos gracias a la reputación de Cloudflare, son fáciles de usar, baratos y, además, el sistema de proxy inverso que ofrecen hace más difícil que los detecten. En pocas palabras, están sacándole provecho a todo lo bueno que tiene esta plataforma, pero para hacer daño.
Cloudflare Pages fue creada para facilitarles la vida a los desarrolladores: una plataforma donde pueden construir, implementar y alojar sitios web rápidos y escalables utilizando la red global de Cloudflare. Ofrece todo lo que se necesita para proyectos front-end modernos: alojamiento de sitios estáticos, soporte para marcos populares de aplicaciones web y, como cereza del pastel, encriptación SSL/TLS automática que garantiza conexiones HTTPS sin mover un dedo.
Pero, como suele pasar, los ciberdelincuentes han encontrado la manera de darle un uso totalmente opuesto. Ahora, esta herramienta diseñada para crear proyectos geniales está siendo utilizada para alojar páginas de phishing que engañan a los usuarios redirigiéndolos a sitios falsos, como páginas de inicio de sesión de Microsoft 365. En pocas palabras, lo que debería ser una solución segura para desarrolladores, se está convirtiendo en una trampa para los usuarios más desprevenidos.
Página de phishing de Microsoft 365 (Fuente: Fortra)
Los hackers están utilizando archivos PDF falsos o correos electrónicos de phishing cargados con enlaces maliciosos que dirigen a las víctimas a estas páginas fraudulentas. Lo peor es que, gracias a la buena reputación de Cloudflare, muchos sistemas de seguridad no detectan estos enlaces como sospechosos.
El número de ataques está creciendo a un ritmo alarmante. En 2024, los incidentes reportados han pasado de 460 el año pasado a más de 1,370 en lo que va de octubre, lo que equivale a un aumento del 198%. Con un promedio de 137 incidentes al mes, se estima que para fin de año el total podría superar los 1,600 ataques, marcando un incremento anual proyectado de más del 250%. Una tendencia preocupante que no parece desacelerarse.
Abuso de páginas de Cloudflare en cifras (Fuente: Fortra)
Además, los atacantes han empezado a usar una técnica conocida como "bccfoldering" para hacer que sus campañas de phishing sean mucho más difíciles de detectar. ¿Cómo funciona? Básicamente, en lugar de incluir a todos los destinatarios en el campo "cc" (donde se ven claramente), los colocan en el campo "bcc", que los oculta. Esto significa que las direcciones de los destinatarios no aparecen en los encabezados del correo, sino solo en el "sobre" digital del mensaje.
Este truco hace que sea casi imposible para los servidores identificar cuántas personas han recibido el correo, a menos que estén configurados específicamente para revelar esta información. ¿El objetivo? Esconder el verdadero alcance de las campañas de phishing y dificultar el trabajo de los sistemas de seguridad para detectarlas y bloquearlas. Una movida astuta, pero preocupante, que está complicando aún más la lucha contra estos ataques.
Correo electrónico de phishing que contiene un enlace a un dominio de Cloudflare Pages
Te podrá interesar leer: Hackers usan Word Corruptos para Ataques de Phishing Exitosos
Cloudflare Workers es una herramienta increíble para los desarrolladores. Les permite escribir e implementar scripts y aplicaciones ligeras directamente en la red de Cloudflare, sin preocuparse por servidores. Lo usan para cosas como crear APIs, optimizar contenido, configurar firewalls personalizados, implementar CAPTCHAs, automatizar tareas y construir microservicios. Suena genial, ¿verdad?
El problema es que los ciberdelincuentes también le están sacando provecho, pero con fines mucho menos amigables. Se ha detectado un aumento en el uso de Workers para lanzar ataques DDoS, alojar sitios de phishing, inyectar scripts maliciosos en navegadores y hasta para intentar forzar contraseñas de cuentas.
En un caso particularmente preocupante, los atacantes usaron Cloudflare Workers para alojar una página que simulaba un paso de "verificación humana" dentro de una campaña de phishing. Esta táctica hacía que el ataque pareciera mucho más legítimo, aumentando las probabilidades de que las víctimas cayeran en la trampa. Es una señal más de cómo los ciberdelincuentes están aprovechando herramientas legítimas de formas muy creativas, pero peligrosas.
Paso de verificación utilizado en una campaña de phishing
Podría interesarte leer: El Ataque DDoS más Grande Jamás Visto: Detenido por Cloudflare
Los ataques de phishing que aprovechan Cloudflare Workers han crecido de forma preocupante. En 2023 se registraron 2,447 incidentes, pero este año ya van casi 5,000, lo que representa un aumento del 104%. Con un promedio de 499 incidentes al mes, las estimaciones indican que el número total podría llegar a los 6,000 para finales de año, lo que marcaría un crecimiento del 145% en comparación con el año anterior.
¿Hay forma de protegerse? Por supuesto. Un buen primer paso es siempre verificar cuidadosamente las URL antes de ingresar información sensible, especialmente si algo parece fuera de lugar o inesperado. Además, activar medidas de seguridad adicionales como la autenticación de dos factores (2FA) puede hacer una gran diferencia. Incluso si tus credenciales llegan a ser comprometidas, esta capa extra puede evitar que los atacantes accedan a tus cuentas.