Los dominios de Cloudflare, conocidos por su rol esencial en el desarrollo web y la computación sin servidor, se están convirtiendo en herramientas recurrentes para actores maliciosos, según un informe reciente de la firma de ciberseguridad Fortra. Estos dominios, como pages.dev y workers.dev, han sido preferidos por ciberdelincuentes para lanzar ataques de phishing y otras actividades delictivas, aprovechando su prestigio y la confianza que generan en internet.
El alarmante incremento en el abuso de estas plataformas, que ha crecido entre un 100% y 250% en comparación con el año anterior, es causa de preocupación en la industria. Los atacantes están utilizando las infraestructuras fiables de Cloudflare para hospedar páginas falsas que se asemejan a inicios de sesión legítimos de servicios populares, como Microsoft Office365, con el objetivo de robar credenciales y datos confidenciales. Solo en el caso de Cloudflare Pages, los incidentes han escalado de 460 en 2023 a 1,370 en octubre de 2024, con proyecciones que sugieren que podrían superar los 1,600 al cierre del mismo año.
Por otro lado, la plataforma Cloudflare Workers, diseñada para ejecutar aplicaciones y scripts en el borde de su red CDN, también ha experimentado un notable incremento en abusos. Los incidentes de phishing aquí han crecido de 2,447 en 2023 a casi 5,000 en 2024, y se anticipa que superen los 6,000 a finales de año. Esta plataforma ha sido utilizada para crear falsos portales de verificación que, bajo una fachada de autenticidad, invitan a los usuarios a suministrar información sensible.
Una técnica destacada empleada por los atacantes es el “bccfoldering”, que les permite comprometer a múltiples destinatarios sin que estos figuren en los encabezados visibles del correo, dificultando así la detección por parte de sistemas de seguridad. Además, los ciberdelincuentes se benefician de funcionalidades avanzadas de Cloudflare, como el proxy inverso y el cifrado automático SSL/TLS, para otorgar una falsa legitimidad a sus sitios maliciosos a través de conexiones HTTPS.
Para combatir estas amenazas, Cloudflare ha implementado mecanismos de detección de amenazas y canales de denuncia. Sin embargo, el despliegue rápido de contenido malicioso continua siendo un reto. Los expertos instan a los usuarios a verificar las URLs, utilizar autenticación de dos pasos y mantenerse alerta a correos sospechosos. Los desarrolladores, por su parte, deben adoptar medidas de seguridad robustas y estar siempre atentos a actividades inusuales.
El informe subraya que el núcleo del problema no reside en las tecnologías de Cloudflare, sino en su explotación indebida por actores malintencionados. Este escenario destaca la necesidad de una colaboración más estrecha entre las empresas tecnológicas y las autoridades para enfrentar estas amenazas de forma efectiva, reforzando la confianza en los servicios que buscan potenciar tanto a desarrolladores como a usuarios.
