El 99,97% de los 200 millones de dominios analizados por este hacker español pueden ser suplantados, y así es como empiezan la mayoría de ciberataques

Hacker en Las Vegas.
  • Un especialista en seguridad informática ha analizado 200 millones de dominios de todo el mundo y solo el 0,3% de los mismos configura los filtros DKIM, DMARC o SPF.
  • Configurar estos filtros evitaría muchos ciberataques y fraudes, que suelen empezar con correos maliciosos suplantando un dominio legítimo.
  • Una profesora de la Universidad de Granada incide en que, a pesar de la gravedad del problema, este no forma parte "de la agenda" de los políticos.
  • Descubre más historias en Business Insider España.

Entre ᴏracle.com y oracle.com hay diferencias. ¿Sabrías decir cuáles?

Aquí el lector juega con ventaja. La tipografía de Business Insider España (y un ojo despierto) permite que se detecte rápido el truco: una 'o' que no es tal. En realidad es una letra del alfabeto cirílico. no es о.

Esta puede ser una de tantas técnicas que los ciberdelincuentes pueden emplear para tratar de suplantar la identidad de un dominio legítimo. La técnica se conoce como spoofing y abre la puerta a ataques reputacionales a marcas, o a estafas más graves mediante campañas de phishing que tan prevalentes son a través de correos electrónicos.

"En un atentado, la policía acordona la zona y toma el control, aquí no ha sido así": el lamento del responsable TIC de una universidad española tras un ciberataque

Lo esperable es que grandes multinacionales y compañías preocupadas tanto de su reputación como de su seguridad informática salvaguarden este tipo de direcciones fraudulentas reservándolas o, directamente, aplicando unas configuraciones muy concretas (pero muy accesibles y sencillas) sobre sus dominios.

El problema es que no lo hacen.

Marc Almeida es un especialista en ciberseguridad. Conocido en redes como Cibernicola, comenzó a mediados del año pasado un estudio que bautizó como Domain Hunter DMARC Edition. Almeida diseñó un pequeño script —un código ejecutable de una categoría inferior a un programa informático— capaz de leer la información que se extrae de los dominios para saber si tienen convenientemente configurados estas configuraciones, conocidas como políticas SPF, DKIM y DMARC.

El experto, originario de Salou (Tarragona) ha escaneado millones de dominios. Cuando solo había conseguido analizar 40 millones de ellos, compartió algunas de sus primeras conclusiones con Business Insider España. De esos 40 millones de dominios, solo apenas 50.000 tenían activadas estas configuraciones que ponían más difícil a los posibles actores maliciosos el poder suplantarlos.

Ahora Domain Hunter DMARC Edition ha terminado, y Almeida vuelve a hablar con Business Insider España para dar a conocer nuevos datos. Lo hace con el firme propósito de colaborar, divulgar y concienciar. Almeida bromea refiriéndose a sí mismo como una suerte de "coche escoba".  "En tecnología siempre estamos centrados en las últimas novedades, dando por hecho que todo lo anterior ya está hecho. En el caso de los dominios está claro que nos hemos dejado mucho a medias".

Por qué es tan importante volver a los dominios

Es imposible cuantificar con precisión cuántos dominios hay registrados en internet. Hay quienes elevan estas cifras hasta los 1.200 millones. Lo único claro es que Marc Almeida logró hacerse con una base de datos de 250 millones de dominios adquiriéndosela a una compañía estadounidense. Sobre esa base ha ido trabajando, realizando un estudio pormenorizado de todos ellos.

"Creo que es la primera vez en mi vida que, desde una pregunta muy sencilla, acabo profundizando tanto como para extraer muchas conclusiones". Almeida reconoce que a medida que progresaba su estudio se aparecían más interrogantes. Unos interrogantes que la industria tecnológica suele desmerecer, habida cuenta de los resultados. Además de la recopilación y análisis inicial, el proyecto contó con un proceso de ingesta.

Pensamiento lateral y divergente: la pieza clave para conseguir ser buenos profesionales de la ciberseguridad, según un reputado hacker español

En total, 200 millones de dominios han sido analizados e ingestados (es decir, enriquecidos en bases de datos). Los dominios dan una "gran cantidad de información". "Se dan muy por hechos y no se tiene en cuenta la capacidad de información que puede dar uno. La cantidad de configuraciones que pueden tener". "La idea misma del dominio es aportar una solución al problema: lo que hace es que los seres humanos podamos memorizar un dominio en lugar de una dirección IP", recuerda Almeida.

"Pero una solución al problema abre otra serie de problemas", incide. "Tengo la sensación de que vamos muy rápido. Es cierto que la tecnología e internet cada vez aporta más cosas. Pero hay cosas como los mismos dominios que se han quedado a medias y no se les presta la atención suficiente". "No es que se desmerezcan" otras cuestiones, matiza rápidamente Marc. "Del dominio 'para dentro' de una empresa todo tiene que estar segurizado".

"Pero el dominio es el marco de la puerta".

Solo un 0,3% de los dominios analizados configuran los filtros

En el camino surgieron imprevistos y obstáculos, por supuesto. Por ejemplo, aunque la base de datos con la que contaba inicialmente era de 250 millones de dominios, pronto en el proceso de ingesta se encontró con algunas duplicidades. De ahí que finalmente los resultados sean sobre 200 millones de dominios en todo el mundo.

Pero los números están ahí. Es una muestra lo suficientemente significativa como para extrapolar el problema a toda la red. 

De 199.974.178 dominios, solo 596.787 tienen alguna configuración prevista de los filtros DMARC o SPF. "No bien o mal", advierte Almeida. Porque una cosa es contar con un filtro activado y otra cosa es que el filtro sea lo suficientemente estricto o esté bien configurado.

En otras palabras: de 200 millones, menos de 600.000 tienen estas políticas activas. Un 0,3% del total. El 99,97 de los dominios analizados por el proyecto de Almeida pueden tener agujeros que los ciberdelincuentes pueden explotar para suplantarlos y ejecutar técnicas de spoofing.

En España la situación se agrava: el 99,97%, más desprotegido

Dos profesionales de la ciberseguridad.

A nivel español la cosa no mejora.

El script de Almeida detectó más de un millón de dominios que, por proximidad geográfica, probablemente estuviesen situados en España. Un total de 1.079.331 dominios. La muestra se amplía si, además de ese millón, se incluyen los dominios terminados en .es (que no tienen por qué estar radicados en España necesariamente). Así, la muestra asciende a 1.574.004 dominios.

De ese millón y medio de dominios, solo 25.171 tienen los filtros DNSSEC activados. De esos 25.171 dominios, solo 713 tienen activados el filtro DMARC, configurado para rechazar y bloquear spam. De esos 713, solo 389 tienen activados el filtro SPF "estricto", que solo permite acceder al propio dominio a un conjunto de IP seleccionadas. De esos 389 dominios correctamente configurados y segurizados, solo 43 tienen alineadas las políticas SPF con las políticas DKIM.

En resumen. De un millón y medio de dominios españoles, solo 43, el 0,0027% de los dominios vinculados a España de una u otra manera, tienen políticas de seguridad estrictas.

DMARC activos en dominios españoles.
Marc Almeida

La cosa preocupa incluso más si se ciñe el estudio a los dominios de ayuntamientos. Marc Almeida configuró su script para que buscase dominios que incluyesen términos como ajuntament, ayuntamiento o ayto, de mod que pudo detectar 1.038 direcciones de páginas y correos de corporaciones locales, todos españoles, aunque muchos dominios contratados y alojados en el extranjero (17 países, algo que entra dentro de la normalidad) y con 85 proveedores distintos.

"En un atentado, la policía acordona la zona y toma el control, aquí no ha sido así": el lamento del responsable TIC de una universidad española tras un ciberataque

Pues ninguno de esos 1.038 dominios de administraciones municipales tenían configurados las políticas DMARC. Solo 20 tenía activadas las políticas DNSSEC. De esos 20, solo 3 dominios tenían las políticas SPF estrictas.

DNSSEC activo.
Marc Almeida

Los ayuntamientos son uno de los principales objetivos de los ciberdelincuentes. El Ayuntamiento de Jerez a mediados de 2019 fue un paradigma, como lo ha vuelto a ser ahora por culpa de un ciberataque que ha sufrido su televisión municipal. El Ayuntamiento de Castellón sufrió hace unas semanas un ciberataque con ransomware que ha acabado con la filtración de documentos sensibles, desde denuncias de violencia de género a identificaciones de policías municipales.

Es un problema internacional

El contar con los dominios lo suficientemente fuertes y seguros puede explicarse con una analogía muy actual: las mascarillas. En plena pandemia de coronavirus, la mascarilla no está pensada para proteger a su usuario. Al menos, no solo a él. La mascarilla, ayuda, sobre todo, a proteger al resto.

Marc Almeida detalla que estos filtros al final funcionan por pares. Si un dominio tiene unas políticas de las antes mencionadas activada, en tu bandeja de entrada, el gestor de correo electrónico y el dominio que utilices también debe contar con esas políticas para ser capaz de validarlas. La importancia de activar estas políticas llegan de organismos internacionales como la IEFT o la IANA. Pero no dejan de ser consorcios empresariales estadounidenses.

En ningún caso se trata de un problema exclusivamente español. Fruto de su proyecto, Almeida comparte datos por ejemplo a comparar entre España y Francia.

En España hay más de un millón de dominios (1.079.331) establecidos geográficamente en el territorio nacional. En Francia hay el triple: 3.503.009 dominios. Sin embargo, sí es cierto que los dominios con filtros DNSSEC activos en España son 19.860 mientras que en Francia la proporción es mucho mayor, siendo 439.989 los dominios galos segurizados.

Pero un ejemplo paradójico es el número de proveedores. Para el apenas millón de dominios españoles, el script de Almeida ha detectado al menos 641 proveedores de alojamiento. En Francia, siendo tres veces más la cantidad de dominios, el número de proveedores no es mucho mayor: solo 943.

No es ni mejor ni peor, pero Marc Almeida llama la atención en una cosa: si activar estas políticas de seguridad requieren de que haya agentes en el mercado de los dominios cumpliendo o instalando estas políticas, es más probable que esas recomendaciones no lleguen a un escenario como el español, mucho más fragmentado y con mayor número de proveedores.

Y "no es una prioridad para los legisladores"

El problema es endémico y estructural. El proyecto de Almeida se transformó este mismo año en un artículo académico que firma la profesora de la Universidad de Granada Margarita Robles, titular de Derecho Internacional Público. El documento, titulado Email Spoofing: un enfoque técnico-jurídico, abunda en esta problemática y sus posibles soluciones, y se presentó en abril en la XVI Reunión Española sobre Criptología y Seguridad de la Información que se celebró en Lleida.

"Los protocolos de seguridad son estándares técnicos emanados de instituciones y organismos privados", abunda Robles, en referencia a las políticas DKIM o DMARC. "No son parámetros o normas obligatorias, ni tampoco cuentan con la legitimidad jurídica que implica que su autor corresponda a una autoridad pública".

20.000 disquetes enviados a finales de los 80 a un congreso de la OMS en Suecia: así fue el misterioso primer ataque con 'ransomware' de la historia

En ese sentido, esa naturaleza "técnica y no jurídica" de los protocolos "constituye el primer obstáculo para su implementación", ya que no deja de ser voluntaria. "No se puede exigir, ni se puede imponer, ni se puede sancionar a quienes no aplican o incumplen los protocolos de seguridad".

La única opción viable por el momento es, de este modo, "que la obligación de cumplir la normativa jurídica sobre seguridad incluya la implementación de los estándares técnicos definidos en los protocolos". Pero los estándares "no resultan fácilmente subsumibles en el concepto de norma jurídica". Por ello, "la posibilidad de que el IETF fuese una entidad autorizada para adoptar normas vinculantes y, en consecuencia, los protocolos fuesen obligatorios, no parece una opción viable".

"A pesar de la gravedad del problema, no se trata de una prioridad en la agenda de los legisladores", remacha.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.