La noche del lunes 23 de enero, el grupo de hacktivistas UGNazi secuestró el sitio Coach.com, el nombre del dominio de Internet del fabricante de productos de lujo Coach. Durante varias horas, las fashionistas que querían admirar el nuevo bolso Willis en Coach.com o comprar su mochila Penelope en Coachfactory.com eran desviadas al misterioso sitio de UGNazy. Imagine la confusión –y frustración- que esto debió causar en sus pequeñas cabezas con peinados estilizados, sin mencionar el desgaste de sus uñas con manicura mientras escribían y volvían a escribir coach.com y coachfactory.com en sus navegadores.
Coach tuvo suerte de que el móvil de los hackers fuera político y no financiero. UGNazy atacó a Coach porque la compañía, cuyos productos exclusivos son altamente pirateados, apoya la controversial Ley SOPA. Si UGNazy hubiera querido hacer más daño a Coach y sus clientes, podría haber tomado control del correo dirigido a Coach.com o dirigir a los clientes a un sitio de phishing. UGNazy dijo en su sitio, “No queremos robar la información de los usuarios, sólo hacerlos conscientes [de los peligros que SOPA, PIPA y ACTA representan para Internet]”.
Un vocero de Coach le dijo a CIO que el secuestro del dominio (o del DNS) tuvo un “impacto mínimo en nuestro negocio”.
Los dominios de otras compañías que se han secuestrado no han tenido tanta suerte. Por ejemplo, en 2008, cuando los hackers secuestraron CheckFree.com, dirigieron el tráfico a un sitio en Ucrania que descargaba código malicioso en las computadoras de los clientes de CheckFree. Sus clientes no fueron los únicos vulnerables al ataque, también fueron afectados los clientes de pequeños bancos que se habían asociado con CheckFree para brindar servicios de pago de facturas en línea, ya que sus sitios eran dirigidos al dominio checkfree.com, asegura Lars Harvey, CEO de Internet Identity, una compañía de seguridad.
El secuestro de dominios también es grave porque pone en riesgo la información corporativa confidencial. Compromete todas las formas normales a través de las cuales la información confidencial es compartida al dar acceso a los hackers a todos los correos electrónicos entrantes de la compañía, señala Ram Mohan, director de tecnología de Afilias, empresa especializada en registrar dominios.
Mohan dice que conoce a una compañía cuyo dominio fue secuestrado durante casi cinco meses sin siquiera saberlo. La compañía no se había cuenta de que su dominio había sido tomado porque los hackers fueron muy discretos: en lugar de dirigir a los visitantes a otro sitio, enviaban a los usuarios al dominio que buscaban, pero “escuchaban” todo el tráfico, explica. En ese entonces, todo el tráfico y los correos electrónicos de la compañía pasaban por una serie de servicios que habían preparado los hackers.
Secuestro de dominios: una amenaza que crece
Harvey y Mohan dicen que los secuestros de dominios están aumentando porque provocan muchos daños, porque mucho del comercio se está moviendo a Internet y porque son fáciles de realizar.
“Los criminales han encontrado que el valor de secuestrar un nombre de dominio es mucho más efectivo que otras formas de ataque”, asegura Mohan. “Los hackers han hecho el equivalente en línea del robo de identidad. Han robado la identidad en línea de una organización y el hacker tiene ahora el control de la marca”.
Mohan agrega que su compañía ha visto que el número de secuestros de dominios se ha triplicado desde 2005. De hecho, la velocidad a la que el secuestro de dominios ha crecido supera el crecimiento de los nombres de dominios. En 2005, dice Mohan, menos de 100 millones de nombres de dominio atiborraban el Internet. Para finales de 2011, había más de 220 millones.
A pesar del daño que ha provocado el secuestro de dominios, muchas empresas no logran proteger adecuadamente sus dominios contra los ataques, apunta Harvey. Sospecha que esto se debe al hecho de que los registros de dominios han sido tradicionalmente responsabilidad de los departamentos legales de las empresas y no de los departamentos de seguridad.
Agrega Mohan que incluso cuando alguien en un departamento de TI tiene que comprar un nombre de dominio, pueden negar toda las protecciones que el proveedor tiene que ofrecer ya sea porque no quieren gastar dinero extra o porque no se dan cuenta de que la necesitan.
“Las compañías tienen que tratar a los dominios como los activos valiosos y vulnerables que son”, apunta Harvey.
El enemigo está cerca
Los hackers pueden emplear varias técnicas para secuestrar un dominio. Una forma es entrar a través de una entidad encargada de registrar el dominio de una compañía. Si la empresa encargada de hacerlo tiene una seguridad deficiente y permite que se escriba una contraseña inválida varias veces, dice Mohan, un hacker que conoce el nombre del administrador puede usar “la fuerza bruta” en el sistema al probar diferentes combinaciones de nombres de usuario y contraseñas.
“Algo que se ha asegurado usando un nombre de usuario y una contraseña no es tan seguro”, añade Harvey. “Los nombres de usuario y contraseñas pueden obtenerse a través de técnicas de ingeniería social. Eso sucedió en Comcast. Para un chico malo decidido, eso es muy fácil”.
Asimismo, los hackers también aplicarán el viejo truco de “olvidé mi contraseña”, dice Mohan. Para obtener una contraseña, pueden pretender que son un usuario registrado que no la recuerda. Pulsan el enlace de “olvidé mi contraseña” en el sitio del registrador, y si éste les permite escribir una dirección de correo a la que se puede enviar la contraseña o las instrucciones para reconfigurarla, un hacker puede fácilmente tomar control de un dominio.
Un tercer método es explotar las vulnerabilidades conocidas de los servidores en los cuales corren los sitios Web. Mohan señala que la semana pasada el sitio de un cliente de Afilias fue secuestrado porque el departamento de tecnología olvidó aplicar el parche de MySQL más reciente. Los hackers obtuvieron el nombre de usuario y la contraseña del nombre de dominio y tuvieron acceso a todo el sitio al explotar la debilidad de la base de datos MySQL del cliente.
No necesariamente los dominios serían tan fáciles de secuestrar si las compañías que los tienen y los registraron los protegieran mejor, asegura Harvey. Por suerte, los directores de TI pueden llevar a cabo algunas acciones sencillas que permitirán prevenir que los dominios de sus compañías sean secuestrados.
1. Eligir un registro de nombres de dominios de clase empresarial. Algunas compañías que registran los nombres de dominios se dirigen a consumidores y pequeñas empresas. Por tanto, no ofrecen la protección que aquellos que trabajan con corporaciones ofrecen.
“A menudo las compañías toman la decisión de contratar a un proveedor de bajo costo o trabajar con alguno que ofrece uno especial”, indica Mohan. “Puede costarle $20 dólares, pero el costo real cuando es secuestrado su dominio es mucho mayor”.
Harvey añade, “Cuando está usted manejando millones de dólares en su sitio web, debe tener otro nivel de seguridad”.
Señala que Coach.com estaba a cargo de Network Solutions, una firma de registro de nombres de dominio y proveedor de hosting que, de acuerdo con su sitio, se especializa en pequeñas empresas.
Agunas de las prácticas de seguridad que debe buscar en una empresa que registra dominios incluyen:
- Autenticación de doble factor o autenticación reforzada. Harvey dice que la mayoría de los secuestros que ve su compañía se hubieran prevenido si quienes registran los dominios hubieran mejorado la autenticación.
- La capacidad de instalar varios candados a su dominio. Harvey sugiere asegurar que candados del registro y de la firma encargada estén activos. Mohan dice que las empresas pueden bloquear su nombre de dominio real. Algunas firmas responsables de hacer los registros también ofrecen protección contra el secuestro de dominios, añade.
- Un registrador que bloquee automáticamente a la gente después de escribir, digamos, tres contraseñas inválidas y no envíe las credenciales para entrar a ninguna dirección de correo electrónico.
2. Estar al día con los parches de seguridad. Asegúrese de aplicar los parches de seguridad más recientes a sus servidores de Internet para que los hackers no puedan explotar las vulnerabilidades conocidas del software. “Si no lo hace”, dice Mohan, “está buscando problemas. En ese caso, no es cuestión de si su dominio será secuestrado o no, es cuestión de cuándo”, como lo aprendió su cliente al no aplicar el parche más reciente de MySQL.
3. Monitorear por donde pasa el tráfico de un sitio. Si ve que el tráfico a su sitio va misteriosamente a un servidor en Ucrania, como fue el caso de CkeckFree, algo está mal. Muy mal.
4. Solicitar NSSEC de su empresa registradora. DNSSEC – que agrega extensiones de seguridad a su Sistema de Nombre de Dominios – no evitará el secuestro de nombres de dominio, pero es la única tecnología conocida que garantiza que una vez que un usuario entra a un enlace hacia su sitio Web, no será secuestrado entre el momento que da clic y el momento en que llega a su sitio, añade Mohan.
