Un reciente estudio conducido por WatchTowr Labs y la Fundación Shadowserver ha revelado una vulnerabilidad que muchos han pasado por alto: la explotación de dominios caducados utilizados en infraestructuras de malware y herramientas de ataque. Para prevenir su reutilización con fines delictivos, los investigadores tomaron la iniciativa de registrar más de 40 dominios abandonados, permitiendo interceptar la comunicación de más de 4.000 sistemas comprometidos a nivel mundial y evidenciando así el alcance del problema.
Las «web shells», o puertas traseras digitales, son herramientas maliciosas implantadas para proporcionar acceso remoto no autorizado a sistemas afectados. Sorprendentemente, muchas de estas puertas traseras logran permanecer activas durante años, conectándose a dominios que los atacantes configuraron anteriormente. Cuando estos dominios expiran, ofrecen la oportunidad perfecta para que nuevos actores, sean legítimos o no, los registren y tomen control de las herramientas comprometidas.
El experimento realizado por WatchTowr Labs y Shadowserver se centró en explorar las consecuencias de esta infraestructura abandonada. Al registrar más de 40 dominios que controlaban puertas traseras activas, establecieron un sistema de monitoreo para observar la actividad de estos dominios. Los resultados fueron impactantes: más de 4.000 sistemas comprometidos comenzaron a conectarse automáticamente a los nuevos controladores. Se descubrieron puertas traseras en servidores gubernamentales de países como China, Nigeria y Bangladesh, así como sistemas afectados en universidades de Tailandia, Corea del Sur y China. Herramientas infames como r57shell, c99shell y China Chopper se encontraban entre las identificadas.
Este estudio pone de manifiesto un problema crucial en la ciberseguridad moderna: la falta de gestión de infraestructuras abandonadas por atacantes. Las puertas traseras abandonadas podrían ser fácilmente reutilizadas por ciberdelincuentes, accediendo a sistemas comprometidos por un coste mínimo de registro de un dominio.
Tras identificar los sistemas comprometidos, WatchTowr transfirió el control de los dominios a la Fundación Shadowserver. Esta organización, dedicada a la seguridad de Internet, actualmente redirige todo el tráfico de los sistemas afectados hacia sus servidores, evitando que sean retomados por manos malintencionadas.
Este caso subraya la importancia de gestionar responsablemente las infraestructuras digitales. La reutilización de dominios caducados no solo plantea riesgos para los sistemas ya violados, sino que también revela una falta de conciencia sobre el problema. Surgen recomendaciones clave para mejorar la situación: la monitorización continua de potenciales vulnerabilidades, la gestión adecuada de dominios para impedir su reutilización, y la colaboración global de organizaciones para mitigar los riesgos.
El hallazgo de más de 4.000 puertas traseras activas conectadas a dominios caducados evidencia una significativa vulnerabilidad en la seguridad digital actual. Las investigaciones de este tipo enfatizan la necesidad de abordar no solo las amenazas presentes, sino también las infraestructuras que, aunque obsoletas, continúan representando un peligro significativo. La proactividad y el manejo responsable de estos datos son vitales para fortalecer la ciberseguridad a nivel global.
