Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, ha publicado un documento en el que alerta del peligro potencial que supone para las organizaciones el mantenimiento de dominios no activos (parked domains), ya que pueden ser utilizados para redirigir tráfico a otros dominios maliciosos.

Se denomina parked domain a un dominio que ha sido registrado pero que no se está utilizando activamente, ya sea por ser una página en construcción o en espera de ser vendido o utilizado con otros propósitos. Este tipo de dominios, lejos de apuntar a páginas publicitarias inofensivas, se han convertido en objetivo de los actores maliciosos, que los convierten en plataformas para llevar a cabo actividades maliciosas.

Según el estudio realizado por Infoblox Threat Intel (ITI), más del 90% de las visitas a parked domains redirigieron al visitante a sitios de estafas, scareware, contenido ilegal o malware, mediante el uso abusivo de de anuncios de «búsqueda directa/sin clic». Esto significa que, en lugar de mostrar una simple página publicitaria, estos parked domains redirigen instantáneamente a los visitantes a otros sitios web elegidos por los anunciantes, a menudo sin clics ni advertencias. Los mecanismos de protección contra el fraude utilizados por las grandes plataformas que alojan parked domains proporcionan a los ciberdelincuentes, de forma involuntaria, un modo de permanecer ocultos y burlar los sistemas de seguridad. Por otro lado, los cambios realizados por Google en sus políticas parecen haber aumentado los riesgos para los usuarios.

Las principales conclusiones de este estudio son:

• El acceso directo a sitios web desde fuentes no rastreables (Direct Search) se ha convertido un mecanismo muy utilizado por determinadas plataformas para redirigir a los usuarios que visitan un dominio no activo a contenidos publicitarios, que son con frecuencia webs maliciosas de estafas y malware.

• Se ha identificado a tres importantes organizaciones poseedoras de dominios (“domainers”) que utilizan técnicas avanzadas para realizar actividades maliciosas (elaboración de perfiles de visitantes, explotación de lookalike domains, recopilación de correos electrónicos basada en errores tipográficos y trucos de DNS poco comunes, como el llamado Fast Flux) y redirigir a los usuarios a páginas publicitarias que pueden ser inofensivas o por el contrario sitios web peligrosos. Cada uno se dirige a diferentes marcas y públicos objetivo, lo que hace que la amenaza sea amplia y difícil de detectar.

• El ecosistema es muy complejo, por lo que denunciar abusos es prácticamente imposible.

Como comenta Renée Burton, VP de Infoblox Threat Intel, “Hace una década, las investigaciones demostraban que los “parked domains”  eran en su mayoría inofensivos y rara vez representaban una amenaza. Nuestra investigación ha demostrado que hoy día casi todos son maliciosos. La transformación es drástica: lo que antes era ruido de fondo en Internet se ha convertido en una amenaza persistente y generalizada, en gran medida desconocida”.