Sitting Ducks: la vulnerabilidad que permite a hackers (y a otros) secuestrar dominios ajenos

¿Quién se negaría a escuchar una conversación ajena si resulta demasiado franca? Los especialistas de Infoblox accidentalmente obtuvieron esa oportunidad cuando notaron que en una gran red de notificaciones push para navegadores las configuraciones DNS se habían «ido de las manos». El error resultó tan propicio para la observación que al servidor de los investigadores comenzaron a llegar copias de prácticamente todas las notificaciones que el sistema enviaba a usuarios de todo el mundo, junto con estadísticas internas.

Se trata de una red comercial de afiliados que formalmente «entrega publicidad» de socios. En la práctica, según el contenido de los mensajes, se parece más a una industria de engaños y cebos insistentes. En dos semanas los investigadores recopilaron más de 57 millones de eventos en los registros. Allí estaban los propios anuncios, las solicitudes para actualizar el código de servicio y las acciones de los usuarios, incluidos los clics.

Lo más curioso es que no obtuvieron acceso mediante un hack ni interceptando el tráfico al estilo AiTM. Los investigadores aprovecharon una vulnerabilidad en la organización del DNS que antes se denominaba "Sitting Ducks". En breve: un dominio está delegado a servidores DNS externos que no conocen el dominio y no responden correctamente. Ese tipo de delegación a veces permite a un tercero acudir al proveedor DNS y «tomar» el dominio bajo su control, simplemente añadiendo registros correctos. En este caso así ocurrió, porque el operador del esquema olvidó actualizar uno de los registros, y luego se descubrió que tenía muchos errores similares.

Al principio los investigadores interceptaron un dominio de ese tipo y en apenas una hora recibieron una avalancha de solicitudes desde los dispositivos de las víctimas. Luego localizaron nuevas delegaciones mal configuradas y ampliaron la observación a casi 120 dominios. En los momentos pico llegaban hasta 30 MB de registros por segundo a su infraestructura. Según su estimación, el operador tenía al menos un orden de magnitud más de dominios; la muestra solo cubrió una parte.

El contenido de las notificaciones explica por qué los usuarios se «suscriben». Los cebos apelaban al miedo, la esperanza o la curiosidad, e imitaban activamente marcas y servicios conocidos. Aparecieron mensajes en nombre de bancos y sistemas de pago, «avisos» de bloqueo de cuentas, «virus», «ingresos» y «premios», así como clickbait con insinuaciones sobre escándalos, políticos y celebridades. Los titulares estaban en más de 60 idiomas y la distribución tenía alcance global.

La escala del spam resultó desmesurada. Un suscriptor recibía de media unas 140 notificaciones al día, y durante la vida útil de la suscripción acumulaba alrededor de 7 600 mensajes. La mayor parte del tráfico correspondía a Asia, especialmente al sur de Asia: Bangladés, India, Indonesia y Pakistán; en conjunto eso representaba alrededor del 50 % de la actividad observada.

La paradoja es que, con tal volumen, casi no hay clics. El sistema incorporaba la estimación de CTR directamente en los parámetros de las notificaciones, y esas estimaciones eran vergonzosamente bajas. El mejor caso observado en los datos fue de aproximadamente 1 por cada 175, pero el valor medio rondaba 1 por cada 60 000. Los clics reales confirmaron este panorama: en 57 millones de eventos los investigadores vieron solo 630 clics, es decir, del orden de 1 por cada 80 000.

A partir de los registros también se estimó la economía. Con un modelo de pago por clic, en 15 días se reunieron apenas $1,80. Al parecer, el dinero principal provenía del pago por impresiones, y los ingresos totales de la parte observada de la infraestructura se estimaron en unos $350 por día. Es poco, y los investigadores no descartan que los dominios se abandonaran simplemente por falta de rentabilidad, aunque no hay una respuesta definitiva.

Un detalle preocupante fue la gran cantidad de información técnica que se transmitía en claro. Los registros incluían datos del dispositivo y del entorno, como el sistema operativo, el modelo, el proveedor, la fecha de suscripción, así como etiquetas internas como identificador del suscriptor y distintos indicadores «antifraude» con los que la plataforma intentaba distinguir usuarios reales de investigadores curiosos. Todo ello mostraba la cocina interna de la red de notificaciones push con mucho más detalle de lo que suele verse desde fuera.

Los autores subrayan que en esta historia fueron observadores pasivos. No controlaron los servidores de los atacantes ni interfirieron en la entrega del contenido, sino que simplemente recibieron tráfico por un error ajeno en el DNS. Al mismo tiempo, la investigación recuerda el lado más grave del problema.

La misma técnica de «delegación defectuosa» se usa a diario contra empresas comunes, cuando atacantes localizan dominios olvidados y comienzan a recibir correo o tráfico ajenos. Como ejemplo se cita al grupo Vacant Viper, que captura dominios de ese modo y los utiliza en la infraestructura 404TDS, conocida por la distribución de cargas maliciosas. En la red de notificaciones estudiada no observaron distribución de malware, pero el riesgo asociado a los dominios abandonados sigue vigente.