El informe 2025 DNS Threat Landscape Report de Infoblox  pone de manifiesto un drástico aumento de las ciberamenazas que utilizan de forma abusiva el DNS para perpetrar sus ataques, y la creciente sofisticación de los actores maliciosos, que hacen un uso intensivo de la Inteligencia Artificial, de tecnologías de publicidad online (Adtech)y de diferentes tácticas para eludir la detección de los dominios maliciosos.

Dicho estudio también destaca que de los más de 100 millones de nuevos dominios observados el año pasado, el 25,1% de estos nuevos dominios observados se clasificaron como maliciosos o sospechosos. El 95% de los dominios relacionados con amenazas eran dominios de un solo uso, dirigidos a una única organización víctima, para evitar su correlación y detección.

Por otro lado, el 82% de las organizaciones bajo observación consultaron dominios vinculados con tecnologías de publicidad online (Adtech) maliciosas, que realizan una alta rotación de dominios masivos para evadir las herramientas de seguridad y distribuir contenido malicioso.

Se detectaron más de 750 dominios únicos de tunelización DNS al mes, tanto legítimos como maliciosos, que a menudo utilizan herramientas como Cobalt Strike, Sliver y Iodine.

Este informe se ha elaborado a partir de telemetrías previas a ataques y de análisis en tiempo real de consultas DNS (DNS queries) de miles de organizaciones (más de 70.000 millones de consultas DNS diarias) y el informe ofrece una visión completa de cómo los actores de amenazas utilizan de forma ilegítima el DNS para explotar la confianza de los usuarios y evadir los sistemas de detección.

Desde su puesta en marcha, Infoblox Threat Intel ha identificado más de 660 actores de amenazas únicos y más de 204.000 clústeres de dominios sospechosos, un importante grupo de los cuales pertenecen a un único actor. En los últimos 12 meses ha publicado investigaciones sobre 10 nuevos actores y descubierto la amplitud y profundidad con que se están usando de forma maliciosa las Adtech, que ocultan amenazas y engañan a los usuarios mediante sistemas de distribución de tráfico (TDS). El informe recopila los hallazgos de los últimos 12 meses, y pretende ofrecer información útil sobre los diferentes tipos de ataques, proporcionando a los responsables de ciberseguridad el conocimiento necesario para anticiparse.

Aumento de nuevos dominios

El análisis de amenazas de Infoblox identificó 100,8 millones de nuevos dominios, de los cuales más del 25% se clasificaron como maliciosos o sospechosos. A lo largo del año, actores maliciosos registraron, activaron e implementaron continuamente nuevos dominios, utilizando más de 25 millones de dominios como parte de la cadena de suministro de sus ataques. Al aumentar el número de dominios utilizados, los actores pueden eludir las defensas forenses tradicionales, basadas en un enfoque de seguridad de “paciente cero”. Este enfoque reactivo se basa en la detección y el análisis de malware después de que ya se haya producido algún ataque en algún lugar del mundo. A medida que los atacantes aprovechan cada vez más la infraestructura de un solo uso, este enfoque se vuelve ineficaz, dejando a las organizaciones vulnerables.

Los actores utilizan estos dominios para diversos fines maliciosos, desde la creación de páginas de phishing hasta la implementación de malware mediante descargas no autorizadas, pasando por la participación en actividades fraudulentas y estafas, como sitios web fraudulentos de inversión en criptomonedas.