{"id":18219,"date":"2019-04-11T12:27:11","date_gmt":"2019-04-11T10:27:11","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18219"},"modified":"2019-11-22T10:54:12","modified_gmt":"2019-11-22T08:54:12","slug":"domain-fronting-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/","title":{"rendered":"El domain fronting y las comunicaciones ocultas de los ciberdelincuentes"},"content":{"rendered":"

El Domain fronting<\/em> (t\u00e9cnica utilizada por los ciberdelincuentes para protegerse detr\u00e1s de un dominio de terceros) pas\u00f3 a primer plano despu\u00e9s de que Telegram<\/a>\u00a0la utilizara para evitar el bloqueo de Roskomnadzor, el regulador de Internet ruso. Este fue uno de los temas que trataron los portavoces de SANS Institute durante la conferencia RSA 2019<\/strong>. Para los atacantes, el esquema no es tanto un vector de ataque sino una forma de controlar un ordenador infectado y extraer datos robados. Ed Skoudis, de cuyo estudio sobre la manipulaci\u00f3n del DNS<\/a><\/strong> ya hablamos en publicaciones anteriores, describi\u00f3 un plan de acci\u00f3n t\u00edpico de los cibercriminales que buscan \u201cdesaparecer en las nubes\u201d.<\/p>\n

La detecci\u00f3n de la mayor\u00eda de los ataques de APT<\/strong> se produce durante el intercambio de informaci\u00f3n con el servidor de mando. Los intercambios repentinos entre un ordenador desde una red corporativa con una m\u00e1quina externa desconocida son una se\u00f1al de alarma, que seguramente desencadenar\u00e1 una respuesta del equipo de seguridad de la informaci\u00f3n, y esta es precisamente la raz\u00f3n por la que los cibercriminales<\/strong> deciden ocultar estas comunicaciones. Por ello, cada vez es m\u00e1s com\u00fan la utilizaci\u00f3n de redes de distribuci\u00f3n de contenidos<\/a> (CDN por sus siglas en ingl\u00e9s) para ello.<\/p>\n

El algoritmo que Skoudis describi\u00f3 es el siguiente:<\/p>\n

    \n
  1. Hay un ordenador infectado con malware<\/em><\/strong> en la red corporativa.<\/li>\n
  2. Este dispositivo env\u00eda una petici\u00f3n de DNS en busca de un sitio web fiable y limpio desde un CDN de confianza.<\/li>\n
  3. El atacante, tambi\u00e9n cliente de este CDN, aloja all\u00ed su p\u00e1gina web.<\/li>\n
  4. El ordenador infectado establece una conexi\u00f3n TLS cifrada con el sitio web de confianza.<\/li>\n
  5. Dentro de esta conexi\u00f3n, el malware<\/em> realiza una petici\u00f3n de HTTP 1.1 que se dirige al servidor web del atacante en el mismo CDN.<\/li>\n
  6. La p\u00e1gina web renv\u00eda la petici\u00f3n a sus servidores malware<\/em>.<\/li>\n
  7. Se establece el canal de comunicaci\u00f3n.<\/li>\n<\/ol>\n

    \"\"<\/p>\n

    Para los especialistas de seguridad a cargo de la red corporativa, este ciberataque aparenta ser una comunicaci\u00f3n con un sitio web seguro desde un CDN conocido y mediante un canal cifrado, puesto que consideran que el CDN, cliente de la compa\u00f1\u00eda, forma parte de su red de confianza. Pero todo esto es un error.<\/p>\n

    Seg\u00fan Skoudis, estos son los s\u00edntomas de una tendencia muy peligrosa. El domain fronting<\/em><\/strong> no es agradable, pero se puede gestionar. La parte m\u00e1s peligrosa de este asunto es que los cibercriminales se est\u00e1n adentrando en las tecnolog\u00edas de la nube. En teor\u00eda, pueden crear cadenas de CDN y ocultar sus actividades tras los servicios en la nube, organizando as\u00ed un \u201cblanqueo de conexiones\u201d. La probabilidad de que un CDN bloquee a otro por motivos de seguridad es pr\u00e1cticamente nula y perjudicar\u00eda gravemente a tu empresa.<\/p>\n

    Para enfrentarse a este tipo de problemas de seguridad online<\/strong>, Skoudis recomienda utilizar t\u00e9cnicas de intercepci\u00f3n TLS. Pero lo principal es ser consciente de que esto puede suceder y tener en mente este vector de ataque en la nube cuando te expongas a las amenazas.<\/p>\n

    Los expertos de Kaspersky Lab tambi\u00e9n tienen experiencia con este tipo de m\u00e9todos maliciosos. Nuestra soluci\u00f3n de seguridad<\/strong> Threat Management and Defense<\/a> puede detectar estos canales de comunicaci\u00f3n y reconocer la posible actividad maliciosa.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Recordamos una de las charlas del RSAC 2019 sobre el domain fronting utilizado para ocultar comunicaciones entre un dispositivo infectado y un servidor de mando. <\/p>\n","protected":false},"author":700,"featured_media":18220,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,6,2755],"tags":[2894,264,260,2875,1225,2619],"class_list":{"0":"post-18219","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-news","10":"category-smb","11":"tag-cdn","12":"tag-ciberataques","13":"tag-conferencia-rsa","14":"tag-rsa2019","15":"tag-rsac","16":"tag-tls"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/domain-fronting-rsa2019\/15577\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/domain-fronting-rsa2019\/13122\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/domain-fronting-rsa2019\/17498\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/domain-fronting-rsa2019\/15648\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/domain-fronting-rsa2019\/22571\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/domain-fronting-rsa2019\/5881\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/domain-fronting-rsa2019\/26352\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/domain-fronting-rsa2019\/23020\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/domain-fronting-rsa2019\/18224\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/domain-fronting-rsa2019\/22430\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/domain-fronting-rsa2019\/22366\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18219","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18219"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18219\/revisions"}],"predecessor-version":[{"id":19821,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18219\/revisions\/19821"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18220"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18219"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18219"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}