La mayoría de las empresas están obsesionadas con los correos electrónicos de phishing, firewalls y protección de puntos finales, pero pierden una amenaza más silenciosa e igualmente peligrosa.¿Saben las empresas cómo se comportan sus aplicaciones web en el navegador de sus usuarios?Los scripts de terceros desactualizados no son sólo una falla en la higiene de TI.Son una invitación abierta al robo de datos, el fraude y los fallos regulatorios.
Cuando un dominio olvidado se convierte en un vector de ataque
En la infame violación de British Airways, los atacantes registraron un dominio lookalike (baways dot com) y explotaron un script de terceros en el sitio legítimo de la aerolínea para descifrar los datos de tarjetas de crédito de los clientes.Aerolíneas británicas.com(sitio real) al sitio falso.En el momento en que alguien se dio cuenta, hasta medio millón de clientes habían sido comprometidos.La aerolínea enfrentó multas récord y daños de reputación.
Aún más notable: nuestra empresa ha podido recientemente comprarbaways.comDe nuevo. había sido abandonado. Desde entonces lo hemos asegurado y ahora alojamos un historial de la violación para aumentar la conciencia.Había habido herramientas modernas de seguridad de la cadena de suministro del navegador (capaz de marcar quebaways.comfue alojado en Rumanía por un proveedor de descuento lituano, no en el Reino Unido) la infracción podría haber sido evitada.
Esta no es una historia antigua.El mismo vector de ataque básico todavía está disponible para los ciberdelincuentes.Muchas organizaciones simplemente no saben qué dominios han dejado expirar, o a qué esos dominios todavía están conectados.
Los dominios abandonados no se quedan quietos
Hace unos meses, el investigador belga de ciberseguridad Inti De Ceukelaire llevó a cabo un audaz experimento. Compró más de 100 dominios caducados que una vez pertenecieron a hospitales, tribunales y agencias de policía. En unos días, tenía acceso a 848 caixas de entrada de correo electrónico.
Más alarmante aún, esas cajas de correo dormidas comenzaron a recibir nuevos mensajes con datos personales de salud de la gente, registros judiciales y comunicaciones de la policía interna. Años después de que estos dominios fueron desactivados, todavía estaban conectados a sistemas críticos y entregaban información sensible por menos de 10 euros por dominio.
Esto es lo que sucede cuando las organizaciones no pueden romper completamente las conexiones antiguas. expirado no significa borrado, simplemente significa vulnerable.
La confusión de dominios socava la confianza y la seguridad de la marca
Incluso los dominios activos pueden crear problemas de seguridad cuando se gestionan mal.Toma el Royal Mail del Reino Unido, que envía a los usuarios enlaces de seguimiento de paquetes utilizando el dominioRíos.meseguido de cadenas aleatorias. Con los textos fraudulentos imitando este formato exacto, los usuarios no pueden decir de forma confiable lo que es legítimo. En algunos casos, el personal de soporte propio de Royal Mail ha identificado erróneamente sus propios enlaces como fraudulentos.
O considere HubSpot, que utiliza una amplia gama de nombres de dominio (por hubspot.com, dehs-scripts.com en el, dehsforms.com, deHábitat.com, y otros) para diferentes servicios. Si una empresa permite que un script se conecte a un dominio como hs-hubapi dot net (no un dominio conocido real, pero lo suficientemente plausible), podría ejecutar inadvertidamente código malicioso. Por el contrario, un script legítimo podría ser marcado como peligroso si el equipo de seguridad no está seguro de qué dominios están sancionados. Cuando la administración del dominio carece de claridad, tanto el equipo de seguridad como los usuarios finales se dejan adivinar.
La violación de Polyfill muestra lo que sucede cuando el código olvidado vuelve
El reciente incidente de Polyfill llevó a este problema a casa. Los atacantes compraron el dominio Polyfill dot io, anteriormente vinculado a una biblioteca de código abierto utilizada en miles de sitios web. El proyecto había caído de mantenimiento, pero el guión todavía estaba activamente referenciado por más de 380.000 anfitriones, incluyendo Warner Bros y Mercedes-Benz. Una vez comprometido, Polyfill dot io comenzó a inyectar código malicioso en cada página que lo llamaba. La violación no se originó de un nuevo exploit. Se originó de un enlace olvidado enterrado en una etiqueta de guión.
Qué deben hacer las empresas ahora
Los riesgos son reales, activos y crecientes; los reguladores están tomando nota. PCI DSS 4.0, por ejemplo, ahora requiere (a partir de marzo de 2025) que todas las organizaciones manejen datos de pago para implementar el seguimiento de scripts de navegador.
Para mantenerse por delante tanto de los atacantes como de los auditores, las organizaciones necesitan repensar cómo gestionan el riesgo de dominio y script. Todo comienza con el mantenimiento de la propiedad de todos los dominios vinculados a los sistemas internos, las cuentas de usuarios o los datos alojados (incluso mucho después de un cambio de marca o de negocio). También significa adquirir proactivamente dominios similares para prevenir ataques de impersonalización y tipografía antes de que puedan comenzar.
El navegador moderno es una de las superficies más dirigidas en ciberseguridad.Con tanto dependiendo de unas pocas líneas invisibles de JavaScript o un dominio olvidado, los equipos de seguridad no pueden permitirse mirar lejos.
