¿Cómo se las arreglan los actores de amenazas para que sus sitios y archivos se alojen en servidores de proveedores legítimos? Me he hecho esta pregunta muchas veces y muchas veces pensé: «Los actores de la amenaza pagan por ello, y para algunas empresas, el dinero es todo lo que importa».

Pero, ¿es realmente así de simple? Decidí averiguarlo.

Le pregunté a algunas compañías, así como a algunos de mis compañeros de trabajo que están involucrados regularmente en el retiro de sitios, sobre sus experiencias.

Conversé con William Tsing, quien es responsable, entre otros, de las infracciones de la marca Malwarebytes; Steven Burn, nuestro líder del equipo de protección de sitios web; y con un portavoz de International Card Services BV (ICS), la compañía detrás de las conocidas tarjetas de crédito Visa y Mastercard. También envié consultas a algunos bancos internacionales, pero a la fecha de publicación, no respondieron. Al recibir las solicitudes de eliminación, pregunté a los proveedores sobre sus métodos y motivos.

Antecedentes de la investigación.

Para brindarle información sobre por qué participamos en las reducciones: a pesar de que protegemos a nuestros clientes al agregar dominios e IP maliciosos a nuestras listas de bloqueo, también informamos de esos sitios y tratamos de desconectarlos. Esto no siempre resulta en un derribo exitoso, pero si existe la posibilidad de proteger a todos contra sitios maliciosos (y no solo a nuestros clientes), siempre aprovecharemos la oportunidad.

Veamos este problema desde algunos ángulos, comenzando con los iniciadores de derribos.

Protegiendo tu marca y tus clientes.

Los impostores pueden darle a su empresa una mala reputación inmerecida y causar daños financieros. Muchas compañías financieras son responsables de las pérdidas debidas a correos de phishing y copias falsas de sus sitios web. Por lo tanto, generalmente están bien organizados cuando se trata de lidiar con las quejas de abuso. En el sector financiero, uno de los mayores problemas son los correos de phishing que enlazan con sitios de imitación. Estas imitaciones pueden ser convincentes, completas con  candados verdes y advertencias irónicas sobre el phishing.

Las corporaciones financieras en general y los bancos en particular están bien preparados para casos de abuso. La mayoría de ellos tienen los siguientes en su lugar:

  • Páginas educativas en su sitio sobre cómo reconocer y tratar los intentos de phishing.
  • Obtenga instrucciones sobre qué hacer si hace clic en un vínculo o ingresa sus credenciales en un sitio falso.
  • Una dirección de correo electrónico de abuso donde los clientes e investigadores pueden reenviar correos de phishing y donde puede reportar sitios falsos.
  • Un departamento de abusos que está luchando constantemente para que los sitios se desconecten y estén dirigidos a sus marcas.

El portavoz de ICS nos hizo saber que siempre intentan eliminar sitios maliciosos y tienen éxito en unos 300 casos por mes, a nivel mundial. Según su experiencia, la mayoría de los proveedores actúan con rapidez, pero a veces las diferentes zonas horarias y horarios de oficina retrasan el proceso más de lo necesario.

En Malwarebytes, también tenemos que lidiar con impostores, algunos de los cuales están vendiendo nuestro producto gratuito y otros que son estafadores de soporte técnico que pretenden ser nuestro departamento de soporte. William Tsing ha desayunado con algunos de estos muchachos, pero hay algunos casos en los que es frustrante eliminar el contenido fraudulento. Algunas de nuestras quejas son:

  • Tratar con robots automatizados que son imposibles de convencer de que hay algo fraudulento en marcha.
  • No hay respuesta del proveedor en absoluto.
  • Una cultura que preferiría recibir una queja sobre el contenido en lugar de clientes descontentos a quienes se les eliminó el contenido, sin importar cuál sea ese contenido.
Sitio web de godaddy

Este proveedor aparentemente sabe lo que debe ser eliminado.

Hosting y otros proveedores

Como se mencionó anteriormente, también enviamos algunas consultas a las empresas de alojamiento y, esto puede no ser una sorpresa: las empresas que realmente actúan a solicitud de eliminación fueron las únicas que respondieron. El resto decidió tratar mi solicitud de información de la misma manera que lo harían con una solicitud de eliminación: la ignoraron.

Según Steven Burn, responsable de las listas de bloqueo de Malwarebytes, este es un comportamiento típico. Sin embargo, en su experiencia, las empresas de alojamiento de Europa occidental y norteamericanas suelen ser mucho más cooperativas que los proveedores rusos y chinos.

Hemos preguntado a estas compañías de alojamiento qué consideran contenido malicioso y las que respondieron estuvieron de acuerdo con las siguientes razones para desconectar los sitios:

  • Contenido de phishing
  • Contenido hacking
  • Malware (como descargas)
  • Spamming

Algunos otros también especificaron:

  • Software ilegal y grietas
  • Contenido inapropiado

Todos estos proveedores estimaron que el tiempo entre la recepción de una queja y la solución del problema es de menos de ocho horas hábiles. Sé por experiencia que la mayoría son incluso más rápidos. También sabemos que los que no respondieron tienen más probabilidades de atender las solicitudes de las grandes empresas más rápido que las de los investigadores, o como dicen, «terceros no relacionados». Y es posible que algunos no respondan, o peor aún, haz que un bot automatizado te envíe respuestas que te lleven a la pared o a la desesperación.

Acortadores de URL

Hay otros proveedores en juego cuando se trata de sitios maliciosos. Tomemos, por ejemplo, los acortadores de URL. Los ciberdelincuentes a menudo utilizan los servicios de acortamiento de URL para ofuscar redireccionamientos a destinos maliciosos. Por lo tanto, si no puede eliminar el sitio web porque el proveedor de alojamiento no responde, puede intentar obtener el acortador de URL para eliminar el enlace acortado de su lista de redirecciones. En algunos casos en los que el actor de amenazas difundió el enlace solo en forma abreviada, esto podría ser igual de efectivo. La mayoría de estos servicios de acortamiento de URL proporcionan un excelente soporte, así como instrucciones detalladas en su sitio sobre cómo proceder.

poco abuso

Registradores

Un registrador de nombres de dominio es una empresa que administra la reserva de nombres de dominio de Internet. En la cadena de alojamiento de sitios web maliciosos, son al menos tan importantes como la compañía que proporciona el servidor físico. Un registrador puede detener las solicitudes de DNS para que un dominio termine en el servidor correcto. Un registrador es también el jugador que tiene que habilitar a los actores de amenazas cuando utilizan técnicas como los algoritmos de generación de dominios (DGA) . Si el actor de amenazas no puede registrar automáticamente los dominios generados por el algoritmo, la configuración completa de la DGA falla. A veces, el registrador y la empresa de alojamiento son iguales, pero no siempre es así.

Exploraciones del servidor

Otra pregunta que les hice a los proveedores es si realizan escaneos de sus servidores para detectar malware inactivo o sitios maliciosos. El malware inactivo en un servidor podría indicar que un sitio web aloja malware para descargar. El malware alojado se puede usar como una carga útil para los troyanos descargadores, o se puede ofrecer para descargarlo bajo la cortina de humo que pretende ser un archivo legítimo. Los proveedores respondieron que sus servidores están protegidos, pero no por software de seguridad que analiza en busca de malware inactivo. Un proveedor, sin embargo, indicó que analizan los sitios recién creados en busca de signos de que el sitio podría usarse con fines maliciosos para establecerlos de forma proactiva fuera de línea.

Investigadores de seguridad

Muchos investigadores de seguridad reportarán sus hallazgos a las partes interesadas. Su efectividad parece depender de lo bien que estén conectados. Esto es desafortunado, ya que las solicitudes de investigadores relativamente desconocidos pueden ser tan legítimas como las de jugadores de larga data. Creemos que todas las quejas deben tomarse en serio, ya sea que se envíen a la dirección de correo electrónico de abuso general o al jefe del departamento; ya sea que provenga de una compañía financiera, un proveedor de antivirus o un investigador de botnet independiente.

Nuestra experiencia con los proveedores varía tanto que es difícil dar orientación general. Hay un proveedor que le permite a Steven Burn desconectar los sitios y hacer preguntas más tarde. Hubo un proveedor que fue maltratado por los estafadores de soporte técnico, pero cuando se lo indiqué, buscaron y encontraron una propiedad común en todas las cuentas que los actores de amenazas registraron con ellos. Al hacerlo, pudieron eliminar todos los sitios de los estafadores, incluso los que aún no se habían publicado. Estos son algunos ejemplos de las formas en que podríamos trabajar juntos para hacer de Internet un lugar más seguro.

Pero si usted es un investigador o trabaja en un departamento de abuso, también sabe el otro extremo del espectro. Estoy hablando de los proveedores que venderían a su abuelo por un dólar o de los gigantes de las redes sociales que reciben tantas quejas, se necesitan meses para superar las respuestas automáticas.

La respuesta a mi pregunta.

En un mundo ideal, los actores de amenazas tendrían que usar sus propios servidores para alojar sitios maliciosos. Esto haría mucho más fácil para los agentes de la ley descubrir quiénes son y ponerlos donde pertenecen. Hablar con algunas de las personas que tienen que lidiar con este problema a diario ha confirmado más o menos lo que ya sospechaba: el problema subyacente para el alojamiento de sitios maliciosos es sobre el dinero. Sin embargo, es quizás un poco más matizado de lo que originalmente creía. Mi revisión de mi respuesta original sería que hay dos problemas en juego:

  • Al proveedor no le importa de dónde proviene el dinero, o cómo se usará el sitio para ganar más dinero.
  • El proveedor no ha dado prioridad a gastar dinero en un departamento de abuso que funciona.

¿Hay algo que podamos hacer para cambiar estas actitudes? Hay una manera de hacer que los proveedores se sienten y escuchen. Cuando alojamos nuestros propios sitios, podemos preguntarnos con qué tipo de proveedor preferiríamos hacer negocios: ¿uno que tome en serio el abuso, o el que haga la vista gorda ante la ciberdelincuencia? Si las prácticas negligentes se convierten en pérdidas de ganancias, es probable que estas empresas de alojamiento tomen las solicitudes de retiro más en serio.

La espera de una legislación que responsabilice a los proveedores del contenido que alojan puede llevar mucho tiempo, o incluso puede que no ocurra en algunos países. Es mejor, entonces, tomar los asuntos en tus propias manos. Si ves algo, di algo. Y si posee su propio sitio web ahora o planea lanzar uno en el futuro, examine las prácticas comerciales de esas empresas de alojamiento e invierta en aquellas que están tomando en serio la seguridad de Internet.

¿Tienes experiencias de eliminación propia para compartir? ¿Alguna vez ha reportado un sitio malicioso a un proveedor? Quéjese en la sección de los comentarios.