«Airbnb para hackers»: los ciberdelincuentes ya disponen de 'pisos compartidos' digitales para ataques sigilosos

Los especialistas de Silent Push presentaron un estudio detallado sobre servicios de alquiler de subdominios, que en la documentación y en los foros a menudo se denominan DNS dinámico. Estas plataformas permiten a cualquier usuario obtener un dominio de tercer nivel y publicar en él su propio contenido, con un control mínimo por parte de los propietarios del dominio. Esa libertad atrae a los atacantes: los subdominios alquilados se emplean para tráfico C2, phishing y alojamiento de cargas maliciosas. Silent Push afirma que monitoriza en tiempo real alrededor de 70 000 dominios que ofrecen subdominios en alquiler.

Los autores describen tres modelos de funcionamiento de estas plataformas. En el primero no hay control del hosting y parte del contenido viene predeterminado por el proveedor —como en Blogspot— aunque la plantilla puede ocultarse parcialmente. En el segundo tampoco hay control del hosting, pero el contenido se puede cambiar libremente —un ejemplo es pages.dev. En el tercero hay control completo de los registros DNS y alojamiento independiente —este modo suele ofrecerse en planes de pago, como en afraid[.]org. En la práctica, estas plataformas actúan como «mini-registradores» sin los procedimientos de ICANN e IANA: basta comprar un dominio, configurar el enrutamiento y la facturación. Al cuadro se suman pagos en criptomonedas sin KYC y canales débiles para recibir denuncias, por lo que los nodos maliciosos suelen persistir mucho más tiempo.

Silent Push subraya que rastrear esas redes es una tarea no trivial. Parte de las plataformas figura en la sección «Dominios privados» de la Lista de sufijos públicos (PSL), donde hay servicios grandes como Blogspot y pages.dev. Sin embargo, la gran mayoría de los anfitriones de alquiler «de baja calidad» no aparecen en la PSL, y no aceptan solicitudes externas para entrar en la lista, por lo que deben registrarse por separado. Un foco aparte es la infraestructura de afraid[.]org: allí hay decenas de miles de dominios, el más antiguo tiene unos 25 años, y cada mes aparecen dominios nuevos. Además de los públicos, existen dominios sigilosos que solo son visibles por registros NS. Tras una consulta por NS para afraid[.]org, la plataforma devolvió más de 591 000 resultados, lo que demuestra la escala del ecosistema.

Aparte de afraid[.]org, el equipo enumera otros proveedores notables: ChangeIP, CloudDNS, DNSexit, DuckDNS, DuiaDNS, DynDNS, Dynu, NowDNS, YDNS y NoIP. Se menciona por separado al proveedor pequeño AttractSoft: sus dominios se emplearon en ataques contra Ucrania; para ese proveedor se preparó una huella específica en informes privados. Según las observaciones de los investigadores, el sector de alquiler de subdominios se alimenta de empresas pantalla y propietarios anónimos, y las aplicaciones maliciosas superan a los escenarios inofensivos.

La historia de abusos se extiende durante años y abarca un amplio espectro de actores. Gamaredon empleó esos dominios en sus ataques; Scattered Spider usó un subdominio alquilado en enero de 2025; TA406 utilizó mygamesonline[.]org; y algunos grupos APT recurrieron activamente a esquemas semejantes en años anteriores. Microsoft ya en 2014 tuvo que intervenir y confiscar parte de los dominios de No-IP que usaban los atacantes. Los servicios de alquiler siguen siendo una herramienta demandada, porque permiten mantener la infraestructura de los ataques en línea incluso después de la publicación de advertencias y denuncias.

Para los defensores hay muchas trampas. Estas plataformas a veces entran en las «listas blancas» corporativas, y los empleados pueden solicitar acceso a un recurso concreto, lo que empuja a los administradores a una peligrosa «amnistía» de todo el dominio raíz. Si el proveedor ignora las reclamaciones por abuso, sus nodos resultan especialmente útiles para C2 y canales de red de larga duración. A diferencia de los dominios convencionales, donde se puede presionar de inmediato al registrador y al hosting, los subdominios alquilados ofrecen menos vías de acción forzada, por lo que incluso direcciones públicamente expuestas pueden permanecer activas durante meses.

Como medidas para reducir el riesgo, Silent Push preparó exportaciones masivas de datos sobre todos los proveedores de alquiler y DNS dinámico que monitoriza, así como feeds IOFA para la detección temprana de infraestructura de ataque. Las recomendaciones varían: desde bloquear por completo las conexiones con esos dominios hasta configurar alertas ajustadas —según la tolerancia al riesgo. El equipo continuará el seguimiento de este segmento en 2025 y pide considerar el contexto ante cualquier excepción: un subdominio puede ser inofensivo, el vecino puede formar parte de un activo malicioso. El aumento de la popularidad de los servicios de alquiler y su escasa rendición de cuentas hacen de la cautela la única estrategia sensata.