¿Deberíamos desconfiar de dominios recién registrados?

¿Deberíamos desconfiar de dominios recién registrados?

Sergio De Luz

Hoy en día el registro de un dominio está al alcance de cualquiera, y no solo eso, sino que puedes tener un certificado SSL totalmente legítimo y gratuito gracias a Let’s Encrypt. Según unos investigadores de la conocida empresa de seguridad Palo Alto Networks, 7 de cada 10 dominios nuevos que se registran son maliciosos. ¿Deberíamos desconfiar de dominios recién registrados?

Los investigadores consideran que un dominio recién registrado (en los últimos 32 días), la probabilidad de que sea un dominio malicioso aumenta considerablemente. Lo mismo ocurre si se ha cambiado la propiedad de un dominio en los últimos 32 días, es posible que un usuario malintencionado haya comprado dicho dominio para realizar spam, phishing u otras acciones malintencionadas. Lógicamente, que un dominio registrado tenga una vida de menos de 32 días, no significa que sea malicioso, pero la probabilidad de ello es del 70%, por tanto, conviene andarse con mucho cuidado.

Estos investigadores de seguridad recomiendan a los administradores de sistemas y redes, que bloqueen a nivel de red todos los dominios que hayan sido creados recientemente (NRDs), para evitar posibles problemas, aunque es muy posible que tengan falsos positivos. Debemos tener en cuenta que estos NRDs, solamente están online unas pocas horas o días, ya que los propios registradores de dominio reciben avisos sobre la actividad de un dominio que han registrado recientemente, y proceden a su bloqueo instantáneamente para evitar problemas. Con el bloqueo de los «dominios nuevos», evitamos todos estos dominios que tienen una vida tan corta.

Debemos tener en cuenta que los NRDs que se registran, suelen estar configurados para distribuir malware, adware, e incluso para proporcionar programas conocidos con un troyano incorporado. Otros usos que los usuarios malintencionados dan e este tipo de dominios, son la de alojar páginas de phishing para robar información sensible, por ejemplo, algunas de las webs más populares para realizar este tipo de ataques son las de email (Gmail, Outlook), y también servicios de streaming como Netflix. En el caso de Netflix, debemos tener en cuenta que para comprar una suscripción hay que introducir la tarjeta de débito/crédito, y esto hace que los cibercriminales puedan robar fácilmente los datos bancarios de sus víctimas, ya que basta con decirle al usuario que «confirme» la información bancaria para seguir con la suscripción.

Por supuesto, también se pueden convertir en páginas de scam e incluso usar el dominio para enviar spam por correo electrónico.Por último, no debemos olvidar que los cibercriminales también hacen uso del registro de dominios muy parecidos a los reales, como por ejemplo «faceb0ok» o «g0ogle».

El equipo de investigadores de Palo Alto Networks detecta una media de 200.000 NRDs cada día, teniendo en cuenta que entorno a 7 de cada 10 dominios son maliciosos, la cantidad de nuevos dominios que están creados con malas intenciones es realmente alto. Los dominios de nivel superior (TLD) que más probabilidad tienen de ser maliciosos son los .to, .ki y también .nf entre otros muchos.

Os recomendamos leer el completo estudio sobre la peligrosidad de los nuevos dominios registrados en la web de Palo Alto Networks.