Autor: ALESSANDRO RUGOLO* – ITALIA – Gentileza de OFCSReport

Un incidente de seguridad reciente puso de relieve graves lagunas en la gestión de dominios y los sistemas de seguridad asociados con los certificados SSL/TLS. Un grupo de investigadores de watchTOWr Labs ha adquirido un dominio perteneciente al Top-Level Domain «.mobi», una antigua extensión de dominio que, aunque teóricamente fuera de servicio, sigue siendo consultada por numerosos sistemas críticos en todo el mundo.

Los investigadores, como parte de una comprobación de seguridad, descubrieron que aproximadamente 135.000 sistemas incluidos los de gobierno, universidades y grandes organizaciones, continuaban consultando el dominio, creyendo que todavía estaba operativo. Estas consultas incluyeron solicitudes para validar certificados SSL/TLS, que son fundamentales para garantizar la seguridad de las comunicaciones en línea.

El descubrimiento más alarmante fue el posible compromiso de varios certificados SSL/TLS asociados con el dominio.

Los certificados SSL/TLS desempeñan un papel crucial en la seguridad de las comunicaciones en línea, garantizando el cifrado de los datos transmitidos entre clientes y servidores. Sin embargo su eficacia depende de la confianza depositada en las autoridades certificadoras y de la correcta gestión de los dominios asociados.

Cuando un dominio participa en la verificación de certificados, sus vulnerabilidades pueden permitir a los atacantes interceptar o manipular el tráfico cifrado entre servidores y clientes. Esto podría exponer datos confidenciales como credenciales, información financiera y otras comunicaciones privadas. Cuando un dominio de este tipo, que se emplea para la verificación de certificados SSL/TLS se vuelve vulnerable, los atacantes pueden aprovechar la situación de varias maneras:

  • Interceptación de tráfico cifrado: Si un atacante consigue el control de un dominio que forma parte del proceso de verificación de certificados válidos para todos los efectos. Esto le permitiría hacerse pasar por sitios web legítimos, interceptar las comunicaciones entre el servidor y el cliente y leer datos cifrados como contraseñas o información financiera.
  • Manipulación de las comunicaciones: los atacantes no sólo podrían interceptar, sino también manipular el tráfico cifrado. Por ejemplo podrían inyectar malware wn archivos descargados o modificar datos en tránsito, sin que el usuario o el servidor sean conscientes del ataque.
  • Confianza del Certificado Comprometido: si los certificados SSL/TLS emitidos a través del dominio comprometido ya no son válidos o seguros, los navegadores y otros servicios pueden comenzar a reportar errores de seguridad para los sitios web que los utilizan. Esto socava la confianza en la infraestructura digital, ya que los certificados falsos podrían parecer legítimos para los usuarios y los sistemas automatizados.

Al hacerlo, los investigadores demostraron que, si bien técnicamente un dominio puede ser abandonado, los sistemas que continuan haciendo referencia a él pueden estar en riesgo. Este tipo de ataque, conocido como «secuestro de dominio», resalta la necesidad de una gestión proactiva y continua de los dominios en uso, especialmente cuando involucran procesos de seguridad críticos como la gestión de certificados SSL/TLS.

El incidente plantea cuestiones preocupantes no sólo sobre la validez de los certificados, sino también sobre la eficacia general de las infraestructuras de seguridad globales. Muchas organizaciones no mantienen actualizados sus sistemas de verificación y no monitorear los dominios caducados puede tener consecuencias devastadoras. Además el hallazgo refuerza la importancia de eliminar o actualizar las referencias a dominios que ya no se utilizan en sistemas críticos.

Archivo al artículo original: https://tuttologi-accademia.blogspot.com/2024/09/potenziale-domain-hijacking-per-mobi.html

Enlace al artículo publicado en el Sitio WEB de OFCS. Report

*ALESSANDRO RUGOLO – Presidente de SICYNT (Sociedad Italiana para el Desarrollo de cibercultura y las nuevas tecnologías). Apasionado por las nuevas tecnologías, el periodismo y el pensamiento estratégico. Autor de numerosos artículo sobre el ciberespacio, las nuevas tecnologías y las amenazas en general, autor del libro «El dominio cibernético, su importancia en un recorrido guiado por sus múltiples naturalezas: ciberseguridad, ciberinteligencia, ciberguerra, ciber influencia, ciber disuasión»…. Coordinador de la columna cibernética de la revista Difesaonline, miembro del Centro de Estudios de Privacidad y Nuevas Tecnologías, miembro del Centro de Estudios del Ejército, miembro de DeComponendisCifris. Oficial del Ejército.