Casinos, proxies y dominios "dormidos": cómo la industria del juego de Indonesia construyó un imperio cibernético al nivel de los servicios de inteligencia

En los últimos años se está formando en el ciberespacio una capa de actividad inusual, que durante mucho tiempo fue percibida como una simple industria clandestina. Sin embargo, nuevas conclusiones de la empresa malasia Malanta dan a este panorama una escala completamente distinta: la estructura detectada, vinculada al segmento de juego en Indonesia, por su tamaño y métodos de operación se asemeja a la actividad de grupos APT, y no a esquemas habituales de fraude.

Los especialistas destacan que el sistema no es nuevo y se apoya en una infraestructura formada al menos desde 2011. Según Malanta, incluye cientos de miles de dominios y sitios, miles de aplicaciones maliciosas para Android, así como cientos de recursos falsos que se hacen pasar por marcas conocidas. Se utilizan credenciales robadas, nodos proxy colocados de forma sigilosa en redes gubernamentales y corporativas, lo que crea las condiciones para el despliegue silencioso de operaciones con muchos años de anticipación a su fase activa.

Se señala también la infiltración en segmentos gubernamentales occidentales y en entornos en la nube, lo que aumenta los riesgos para las entidades estatales y las cadenas de suministro. Los organizadores combinan el secuestro de subdominios, la difusión de código malicioso móvil, la comercialización de datos robados y una amplia automatización en la gestión de nombres de dominio. Los subdominios comprometidos se usan para robar datos de sesión o para la transmisión oculta de comandos, y el tráfico se disfraza como flujos legítimos.

Los autores del informe registran el abuso de plataformas en la nube, el redireccionamiento mediante cadenas de SEO, el uso de plantillas de phishing generadas por algoritmos de generación de texto y la colocación sistemática de archivos en repositorios de grandes proveedores de nube. El análisis de los indicadores de la etapa preparatoria de los ataques permitió unir elementos dispersos en una campaña a largo plazo. El panorama apunta al uso sistemático de errores de configuración y al débil control sobre las zonas de dominio.

Los expertos aconsejan reforzar la gestión de registros DNS y de activos en la nube, eliminar las posibilidades de secuestro de subdominios, aplicar mecanismos de protección a nivel web, configurar reglas de acceso estrictas en la nube y aumentar la monitorización de la actividad de red. Se subraya la importancia de pasar del enfoque reactivo a la detección temprana de infraestructuras preparadas para un ataque, para privar a los atacantes de apoyo antes de que comiencen sus acciones.

Según los especialistas de Malanta, la difusión de estos enfoques muestra una transición hacia estrategias en las que la preparación de la infraestructura juega un papel clave. Esta se disfraza como procesos habituales en internet y durante años elude los mecanismos estándar de detección, lo que facilita operaciones duraderas y de baja visibilidad. Para contrarrestarlo se requiere ampliar el análisis y desplegar herramientas que permitan rastrear estructuras emergentes antes de que se conviertan en ataques completos.