Un grupo de investigadores están haciendo un seguimiento de un truco que hace que sea más difícil seguir la pista y desmantelar páginas web fraudulentas.
En el mundo del fraude por internet, al igual que en la vida real, cuanto más tiempo puedan operar los delincuentes sin ser detenidos, más dinero lograr robar. Además los expertos han descubierto que muchos ‘phishers’—sinvergüenzas que utilizan páginas web falsas para engañar a los usuarios y que proporcionen información de valor—han encontrado un modo para que sea más difícil que dichas webs sean bloqueadas o desmanteladas.
Este truco, llamado “flux”, permite a las webs falsas cambiar su dirección en internet muy rápidamente, dificultando que los defensores puedan bloquear las páginas o avisar a los usuarios que no sospechan de su veracidad. Según un estudio publicado recientemente en la revista IEEE Security and Privacy, alrededor de un 10 por ciento de los sitios de phishing utilizan flux para esconderse.
Flux hace uso del sistema de nombres de dominio de internet, que es responsable de hacer que concuerde la dirección web tecleada en el navegador con el servidor que realmente alberga el sitio. Cuando un usuario intenta visitar una página web, el sistema de nombre de dominio dirige primeramente al usuario a un servidor de nombres, que mantiene un listado actualizado de las direcciones de los sitios. Este servidor de nombres le dice al navegador del usuario dónde encontrar el sitio deseado.
Normalmente sólo hay un número limitado de máquinas que albergan copias de un sitio—las suficientes como para mantenerlo activo si algo falla. Los sitios fraudulentos, por el contrario, son una historia distinta. Los sitios de phishing a menudo están albergados en botnets—miles de máquinas secuestradas distribuidas a través del planeta.
“Estas máquinas no pertenecen a los criminales, te pertenecen a ti y a mi y a nuestras abuelas,” afirma Minaxi Gupta, profesora asistente de ciencias informáticas en la Universidad de Indiana y que estuvo involucrada en la investigación. Puesto que los phishers tienen acceso a tantas máquinas, explica, las pueden utilizar todas para mudar un sitio rápidamente, eludiendo a los defensores mientras hacen que el sitio siga estando disponible.
Para utilizar flux, el phisher necesita controlar un nombre de dominio, lo cual le proporciona el derecho para controlar su servidor de nombres. Después el phisher configura el servidor de nombres para que dirija cada nuevo visitante a un nuevo grupo de máquinas, manteniendo un ciclo rápido entre las miles de direcciones disponibles dentro del botnet. Gupta señala que flux es más efectivo cuando el phisher cambia la localización del servidor de nombres también. Si el servidor de nombres también se traslada a unas localizaciones distintas de internet, resulta el doble de difícil para los defensores detectar una localización central donde la página web falsa pueda ser desmantelada. El grupo de Gupta descubrió que un 83 por ciento de los sitios de phishing que utilizaban flux duraban más de un día antes de ser bloqueados, en comparación con la cuota de supervivencia del 65 por ciento de los sitios que no usaron flux.
El grupo también logró identificar métodos para detectar flux y sugerir que la detección de flux debería formar parte del sistema de nombres de dominio mismamente. Puesto que el uso de la técnica probablemente significa que el sitio es fraudulento, el sistema por sí mismo podría ayudar a proteger a los usuarios desprevenidos antes de que visiten estos sitios.
Si se acorta el tiempo de detección aunque sea sólo unas cuantas horas se puede lograr una gran diferencia, afirma Alper Caglayan, presidente de Milcord, una compañía con sede en Waltham, Massachusetts, que se encarga de recolectar datos en tiempo de real acerca de botnets. “Si son capaces de operar aunque sea sólo un día, en ese tiempo pueden ganar una cantidad de dinero altísima,” señala.
Caglayan señala que existen formas legítimas de utilizar flux—por ejemplo, para distribuir contenidos multimedia de forma eficiente—aunque afirma que el modo en que un botnet utiliza flux debería tener un aspecto distinto. Por ejemplo, las máquinas de un botnet están esparcidas a lo largo del mundo siguiendo un patrón que no tendría sentido para un negocio legítimo.
Algunos expertos creen que hay que diseñar un método polifacético para detener a estos sitios de phishing. La compañía de Caglayan ofrece un servicio que ayuda a los proveedores de servicios de internet y a otras grandes redes de administradores a encontrar y desmantelar máquinas infectadas dentro de sus redes.
Algunos navegadores de internet también utilizan listas negras para advertir a sus usuarios acerca de sitios fraudulentos. No obstante, trucos como flux hacen que sea casi imposible que esas listas negras estén actualizadas lo suficiente como para que resulten útiles. Caglayan espera que, en el futuro, los navegadores tendrán que construir sistemas incorporados que detecten los fraudes por sí mismos.
La detección de flux sólo ayuda a la gente que utiliza servicios de bloqueo de algún tipo, afirma Manoj Srivastava, director técnico de Cyveillance, una compañía de seguridad con sede en Arlington, Virginia. “Para poder combatir de forma efectiva un ataque que incorpore flux de alta velocidad, es necesario sacar el dominio de internet, y eso requiere trabajar en colaboración bien con la persona que lo registró o con el registro de ese dominio,” afirma. Esto puede ser complicado puesto que algunos dominios están localizados en países cuyas regulaciones en cuanto al fraude por internet no son demasiado severas. Obstáculos simples tales como las barreras idiomáticas pueden permitir que un sitio fraudulento siga operando durante un periodo de tiempo más largo.
Gupta afirma que, al igual que ocurre con la mayoría de los delitos por internet, flux es sólo un componente más dentro de un enorme juego del gato y el ratón. “Es imposible ganar,” afirma. “Simplemente hay que detectar continuamente su forma de operar y ajustarse a ella."