#MundoHacker: Sobre la dependencia de recursos en dominios de terceros

dominios aparcados

Se suele denominar dominios aparcados (ES) a aquellos dominios que no tienen asociada una web específica, y que por tanto, se consideran “aparcados” de la red.

La mayoría de estos dominios o bien han sido creados recientemente, de manera que o todavía no están enlazados, o enlazan a la típica página de “En Construcción” en espera de poder subir el contenido de la nueva web, o bien son comprados por terceros de cara a aprovechar el posible posicionamiento que una vez tuvieron (cuando en efecto eran dominios útiles).

Los buscadores intentan, en la medida de lo posible, controlar su visionado, habida cuenta del mal uso que puede llegar a hacerse de ellos (como es enlazarlos a webs puramente publicitarias).

Es, de hecho, muy habitual que cuando cierran una web de descargas ilegales, ésta redirija durante las próximas semanas a un callejón sin salida repleto de publicidad, como medida para explotar todo lo posible ese dominio antes de que éste acabe muriendo. También suele verse cómo una vez compramos un dominio y antes de ponernos a modificarlo, éste viene enlazado a una página publicitaria bajo el control del proveedor, que encuentra en esto una manera de monetizar indirectamente todos aquellos proyectos que quizás no acaben por llegar a buen puerto.

Es por ello que el ciclo de vida de un dominio aparcado suele ser bastante bajo. Tan pronto un dominio es fichado como aparcado, tiende a perder rápidamente el posicionamiento hasta que queda excluido de las búsquedas.

Sin embargo, no siempre ocurre esto, y por tanto, aquellos dominios con un peso considerable que han sido abandonados (el dueño ha dejado de pagarlos) pueden volverse una mina de oro para un especulador, o alguien interesado en aprovechar el SEO que tuvieran para sus propios proyectos.

Junto a esto, descubría el otro día el caso de la empresa China Investment Limited (CCI), que había comprado 200.000 de estos dominios. La compra ha llamado la atención de algunos (como los chicos del blog de Sucuri (EN)), que se han puesto a investigar, llegando a una conclusión verdaderamente interesante.

Tanto como para dedicarle un artículo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, centrado en este caso en cómo los dominios aparcados pueden volverse una verdadera arma cibernética con un impacto sustancial en miles de webs legítimas.

Los dominios aparcados como Caballo de Troya de webs de terceros

Y es que al parecer este conglomerado de empresas está utilizando los dominios aparcados como Caballo de Troya para mostrar publicidad de dudosa legalidad.

El funcionamiento es tan sencillo como cabría esperar, y se basa en el potencial que tienen todos aquellos enlaces que webs de terceros hicieron en su día a ese dominio.

Todas aquellas webs que en algún momento enlazaron a alguno de los elementos alojados en estos dominios pasan así a mostrar contenido distinto enlazado mediante redirecciones y distintos recursos técnicos.

El caso más habitual sería la llamada a un elemento gráfico (una imagen, por ejemplo):

Cuando alguno de estos dominios aparcados recibe una solicitud para mostrar ese contenido, el servidor debería devolver un error 404 (el contenido no existe ya que los ficheros no existen). Sin embargo, esta empresa había preparado los dominios para que tan pronto alguien hiciera una petición de un recurso gráfico, éste le redirigiera a un recurso gráfico publicitario que estaba alojado en un servidor propio.

De esta manera, todas aquellas webs que en algún momento realizaron esa petición pasan, de golpe, a mostrar este nuevo contenido, para beneficio de CCI (en este caso).

El script, de hecho, funciona tanto con imágenes que en su día existirían en la página original, como con cualquier petición fail (simplemente cualquier petición de un archivo .jpg, .png, .gif,… sirve para que el dominio devuelva un contenido publicitario específico).

Un ataque perfecto para todos aquellos bloggers (por hablar de una tipología de usuarios que habitualmente incurre en estos errores) que enlazan el contenido audiovisual directamente de la fuente, aludiendo a un menor gasto en recursos propios, en vez de hacerlo desde su propio servidor. Un hotlinking (ES) de guión que en este caso pone en riesgo la credibilidad (y hasta la seguridad) del propio site.

Porque el problema se agrava cuando somos conscientes de que junto a esos recursos también podrían venir archivos de JavaScript y PHP, que podrían ser modificados para presuntamente, inyectar publicidad ilegal (o cualquier otro tipo de ataque) en dominios de terceros.

Esto último puede conllevar ya no solo un problema reputacional (alguien entra en nuestra página y en vez de mostrar una imagen, mostramos publicidad sobre viagra), sino un fallo de seguridad bastante gordo en todas aquellas empresas y organizaciones que sigan usando recursos de terceras partes.

Algo, por otro lado, bastante habitual en entornos de blogging y CMSs como WordPress, y que no siempre está al alcance del administrador solucionar.

¿Qué hacer para minimizar los riesgos de un ataque de dominios aparcados?

No es la primera vez que alerto de los riesgos de la dependencia de terceros en entornos de desarrollo, y la publicidad no se escapa a este hecho.

Pero sí podemos realizar una serie de buenas prácticas que en síntesis nos permiten combatir con bastante eficiencia ataques de este tipo:

  1. Reducir todo lo posible las dependencia de terceros: Que buena parte de los sistemas de información que los administradores utilizamos en nuestros desarrollos se hayan modularizado tanto complica las cosas, haciendo en la práctica imposible no depender nada de terceros. Pero al menos, podemos hacerlo únicamente de aquellos entornos a priori bastante estables, como pueden ser dominios de Google, de WordPress, de Joomla, de Prestashop,… Es decir, recurrir, si es necesario, únicamente a la fuente, y no a fuentes derivadas de la original, a la hora de enlazar a bibliotecas JS, PY y compañía. A recursos críticos necesarios para el buen desempeño del servicio.
  2. El hotlinking es el cáncer: Siempre que sea posible (y normalmente lo es), alojar el contenido en nuestro propio servidor. Sí, sé que eso conlleva un gasto de recursos mayor, pero es lo correcto. La única excepción a esta regla la aplicaría en el caso de vídeos, habida cuenta de que generalmente los recursos necesarios para visualizar un vídeo de manera óptima en la mayoría de casuísticas que se pueden dar están mucho mejor contempladas en plataformas como Youtube o Vimeo. Pero para todo lo demás (imágenes, audio, texto,…), contenido en servidor propio.
  3. Escanear periódicamente los recursos externos: con el fin de localizar aquellos que ya no están online y poder elegir la acción que queremos hacer (borrarlo o cambiarlo por otra alternativa). En el caso de WordPress un servidor usa el plugin Broken Link Checker (EN), que hace justo eso pero enfocado únicamente a los recursos de contenido (por cierto, acuérdese de mantenerlo desactivado cuando no lo esté usando, ya que es un agujero negro de recursos), y para proyectos más genéricos o un análisis en profundidad (que contemple archivos de configuración, por ejemplo) tenemos herramientas como Xenu Link Sleuth (EN).
  4. Por último, el mantener actualizado todos nuestros sistemas: Cosa que no solo ayuda a la hora de luchar contra este tipo de ataques, sino en definitiva para cualquiera, esté o no relacionado con los dominios aparcados.

Pero recalco que resulta muy muy complicado enfrentarse a algo semejante, máxime cuando el alcance es tan masivo como es el caso.

¿Cuántos dominios estarán ahora mismo mostrando publicidad (o cosas peores) por haber enlazado en algún momento algunos de estos 200.000 dominios?

¿Cuántas bandas de cibercriminales estarán encontrando un negocio redondo en la explotación de dominios aparcados?

No pinta nada bien el asunto…

 

________

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias