El camuflaje perfecto
Las plataformas de infraestructura web que ofrecen seguridad y distribución de contenido son esenciales para el internet moderno. Sin embargo, un nuevo informe revela un problema creciente: los ciberdelincuentes están aprovechando esas mismas herramientas defensivas para ocultar ataques sofisticados.
Investigadores de DomainTools descubrieron una campaña avanzada de phishing dirigida a robar credenciales corporativas de Microsoft 365. Lo que hace especialmente peligrosa esta operación es que los atacantes se escondían detrás de la infraestructura de Cloudflare, permitiendo que los sitios maliciosos evadieran sistemas automáticos de detección.
Primera capa: usar la verificación “No soy un robot”
La campaña utilizaba como primera línea de defensa una herramienta legítima de Cloudflare llamada Cloudflare Turnstile.
Turnstile es un sistema moderno que reemplaza a los tradicionales CAPTCHA y verifica si el visitante es humano o un bot.
Los atacantes colocaron esta verificación al entrar al sitio fraudulento. Esto tenía un efecto importante:
- Los escáneres automáticos de seguridad quedaban bloqueados
- Para los sistemas de detección, el sitio parecía inofensivo
- Los usuarios reales, en cambio, pasaban el filtro y llegaban a la página de phishing
De esta manera, los sitios podían permanecer activos sin ser detectados durante más tiempo.
Filtrado agresivo en tiempo real
Mientras el visitante completaba la verificación, el sitio realizaba múltiples comprobaciones en segundo plano.
Primero consultaba el servicio api.ipify.org para obtener la dirección IP del visitante. Después la comparaba con listas negras integradas en el propio código.
Entre las IP bloqueadas estaban rangos pertenecientes a empresas de ciberseguridad y grandes proveedores cloud, como:
- Palo Alto Networks
- FireEye
- Amazon Web Services
Además, el sitio inspeccionaba el User-Agent del navegador. Si detectaba rastreadores conocidos como Googlebot o Bingbot mostraba inmediatamente un falso error “404 Not Found”.
Este sistema impedía que motores de búsqueda o herramientas de análisis detectaran el contenido malicioso.
Código oculto mediante una máquina virtual personalizada
Incluso si un investigador lograba superar los filtros anteriores, el código malicioso estaba diseñado para ser extremadamente difícil de analizar.
La lógica que robaba las credenciales no estaba escrita como JavaScript convencional. En su lugar, los atacantes crearon una máquina virtual personalizada que ejecutaba instrucciones codificadas en tiempo real.
Esto tenía varias ventajas para los criminales:
- El código era difícil de leer o analizar estáticamente
- La dirección del servidor de control (C2) solo aparecía durante la ejecución
- Los sistemas de análisis automático no podían identificar el comportamiento malicioso
Además, si el sistema detectaba que estaba siendo analizado, la página cambiaba su comportamiento y redirigía a un sitio legítimo como Google, ocultando completamente su actividad.
Cuando un usuario legítimo pasaba todos los filtros, el sistema generaba una URL personalizada para capturar sus credenciales de Microsoft 365.
El error que reveló toda la operación
A pesar de la sofisticación técnica, los investigadores lograron desmantelar el esquema debido a un simple error operativo.
Los atacantes reutilizaron la misma clave de sitio (sitekey) de Cloudflare Turnstile en toda su red de páginas de phishing.
Al analizar esa clave única mediante herramientas de inteligencia de internet como Shodan, Censys o URLScan, los investigadores pudieron identificar todo el conjunto de dominios maliciosos asociados a la campaña.
Esto permitió detectar nuevos dominios incluso antes de que fueran utilizados en ataques activos.
Un desafío creciente para la seguridad en internet
Este caso ilustra un problema cada vez más frecuente, a saber que los delincuentes utilizan infraestructuras legítimas para ocultar actividades maliciosas.
Servicios como Cloudflare son fundamentales para proteger millones de sitios web, pero también pueden ofrecer una capa adicional de anonimato y de protección para actores maliciosos.
El incidente plantea una cuestión clave para el futuro de la seguridad digital: hasta qué punto los proveedores de infraestructura deben asumir mayor responsabilidad en verificar a sus clientes y detectar abusos de sus plataformas.
A medida que los ciberdelincuentes continúan adaptándose y utilizando herramientas legítimas como escudo, la industria de la ciberseguridad deberá evolucionar para evitar que las defensas del internet moderno se conviertan en armas para atacarlo.
Deja una respuesta