Unos por "dominios olvidados", otros por "negligencia deliberada": Google y Cloudflare han facilitado a hackers durante años

El grupo Deep Specter Research describió un esquema multinivel de phishing y suplantación de marcas que durante años operó sin ser detectado en la infraestructura de Google Cloud y Cloudflare. Según el estudio, los atacantes compraban masivamente dominios olvidados o caducados, los llenaban con copias de sitios de grandes empresas y ocultaban el contenido ilegal detrás de versiones "limpias" de las páginas destinadas a los motores de búsqueda. Los autores sostienen que las plataformas recibieron señales sobre la actividad pero no actuaron, lo que puede interpretarse como una "ignorancia deliberada" y acarrear consecuencias regulatorias para las compañías implicadas bajo GDPR, DMCA y la FTC.

Entre los objetivos figura Lockheed Martin. Según el informe, el dominio militaryfighterjet.com perdió a su titular en septiembre de 2024 y ya el 16 de septiembre devolvía la página «168 Lottery Results» cuando se accedía desde escritorio, mientras que desde dispositivos móviles se servía una copia del sitio de Lockheed Martin con secciones para empleados y socios. Ese desdoblamiento de contenido es cloaking: scripts que, según el User-Agent y otros indicadores, muestran páginas distintas a los bots y a los usuarios reales. En el código fuente los investigadores hallaron rastros de HTTrack con la marca Mon, 16 Sep 2024 19:45:00 GMT; la IP responsable alojaba cientos de dominios y pertenece a Google Cloud. Tanto el proveedor como el titular de derechos fueron notificados.

Los autores cartografiaron toda la plataforma y contaron 86 direcciones físicas en Google Cloud (regiones de Hong Kong y Taiwán), alrededor de 44 000 direcciones IP virtuales en GCP y unas 4 000 más en alojamientos de terceros; 8 nodos actúan como nivel superior de control y 78 como clústeres de trabajo. La suplantación afecta al menos a 200 organizaciones de distintos sectores —desde la industria de defensa y la sanidad hasta foros especializados—; los dominios se eligen según la temática de la víctima, por eso, por ejemplo, militaryfighterjet.com quedó "vinculado" a lockheedmartin.com. Parte de los clones sigue cargando recursos desde las nubes del propietario legítimo (tipografías, logotipos, analítica), lo que crea la paradoja de que la propia marca sirve involuntariamente al atacante y puede detectar el clon por las cabeceras de las solicitudes a objetos externos.

La actividad observada se remonta, como mínimo, a 2021 y ha tenido picos: el trimestre con más phishing fue a finales de 2022; en mayo de 2023, en contexto de las campañas alrededor de MOVEit, se registró un aumento múltiple de nodos visibles; en marzo de 2025 se produjo otro pico relacionado con otros incidentes en el ecosistema. El estudio vincula proyectos similares con tráfico procedente de Google, Meta y aplicaciones Android, y apunta a correlaciones con campañas maliciosas. El mayor "grupo" de clones de una sola organización, según los autores, alcanza casi 6 000 hosts virtuales. A pesar de la escala, unas mil de las 48 000 direcciones usan HTTPS. En algunos casos se observaron huellas TLS que coinciden con perfiles de servidores de control de la familia Sliver.

En total, Deep Specter Research habla de más de 48 000 hosts y más de 80 clústeres, decenas de miles de observaciones entre 2021 y 2025 y cientos de indicadores públicos que, según ellos, no recibieron respuesta. Los investigadores creen que se trata de un servicio de phishing a nivel industrial con una pila de gestión y cloaking unificada. A su juicio, los proveedores de infraestructura por los que pasa una parte significativa de Internet deben vigilar con más rigor los abusos, y las grandes marcas —como Lockheed Martin— deben establecer monitorización continua de copias y respuestas rápidas, legales y técnicas, para frenar la suplantación, la difusión de contenido ilegal y el secuestro de la confianza de sus usuarios.