Seguro que todos estamos familiarizados con el concepto de dominio en Internet. Básicamente, se trata de una palabra seguida de una extensión que puede ser desde las habituales .com o .net a otras regionales, como el .es. Sin embargo, esos dominios pueden tener subdominios especiales que añaden una palabra y un punto antes del dominio principal. Estos permiten acceder a una parte concreta de la web directamente. El problema es que muchas veces se crean y terminan cayendo en el olvido. Eso es lo que están aprovechando ahora los ciberdelincuentes para utilizar hasta 240 subdominios olvidados de grandes empresas y organizaciones para colar malware o similares.
Según cuentan en The Register, más de 240 subdominios de grandes empresas y organizaciones estarían utilizándose para redireccionar hacia contenido malicioso, material para adultos, juego online y otro contenido que uno no esperaría encontrar en esa ubicación en concreto. El problema se debe al mal uso de Microsoft Azure cloud y la falta de control por parte de los responsables de estas páginas web.
Diferentes ejemplos de subdominios hackeados
Entre las empresas y organizaciones afectadas encontramos: Chevron, Cruz Roja, UNESCO, 3M, Getty Images, Hawaiian Airlines, Arm, Warner Brothers, Honeywell, Autodesk, Toshiba, Xerox, NHS, Siemens, Volvo, Clear Channel, Total y otras.
Por ejemplo, el subdominio advanced.core.freeflow.xerox.com ha estado utilizándose para publicitar páginas de contactos y de otras muchas cosas con la esperanza de que la reputación del dominio oficial les permita subir posiciones en los portales de búsqueda como Google. En algún momento, este subdominio estuvo alojado en la nube de Microsoft en un servidor llamado webserver9000.azurewebsites.net.
El problema es que los responsables de Xerox no cerraron ese subdominio cuando ya no lo necesitaban, lo que ha permitido a los ciberdelincuentes montar un nuevo servidor con el nombre webserver9000.azurewebsites.net que sigue apuntando al subdominio original. Con un simple control de los subdominios activos se acabaría el problema, pero eso es algo que no se está realizando.
Básicamente, estas compañías habilitaron ese espacio en Internet y luego olvidaron su existencia. Alguien aprovechó la estructura existente para redireccionarlos utilizando la nube de Microsoft. En realidad, no es un hackeo, pero sí es un descuido importante que perjudica a su imagen y puede confundir a los usuarios.
En estos momentos, el 20% de esos subdominios ya han sido cerrados, pero todavía quedan muchísimos que siguen activos. Más allá de la reputación, el gran problema es que se puede confundir a los usuarios con un subdominio aparentemente legítimo, pero que realmente termine descargando malware en sus ordenadores. Por desgracia, esto no es la primera vez que ocurre.