Los subdominios comprometidos son cada vez más valiosos entre los piratas informáticos y otros ciberdelincuentes en los rincones más oscuros de Internet. ¿Por qué? Su valor surge de su uso potencial en esquemas de phishing. Curiosamente, estos subdominios robados pueden eludir sin esfuerzo las comprobaciones tradicionales que a menudo se enseñan para identificar sitios maliciosos. Esto se debe a que, para el ojo inexperto, parecen legítimos, lo que los convierte en un arma formidable en manos de los ciberdelincuentes.
Cuando desarrollamos EZMonitor, nuestra herramienta de monitoreo de certificados SSL, nuestros hallazgos fueron increíblemente alarmantes, por decir lo menos. Encontramos más de 30.000 subdominios alojados en Azure susceptibles a adquisiciones no autorizadas. Has leído bien: más de 30.000. De manera inquietante, notamos que delincuentes se apoderaban de estos dominios para lanzar ataques contra consumidores desprevenidos. Para contrarrestar esto, adoptamos un enfoque proactivo: en lugar de dejarlos expuestos, ocupamos temporalmente estos dominios y contactamos a las empresas relevantes para alertarlas sobre estas vulnerabilidades.
De la multitud de organizaciones con las que nos encontramos durante nuestros descubrimientos y revelaciones, dos nombres se destacaron: Legoland y FedEx. De las miles de entidades que evaluamos, estas dos fueron las únicas que efectivamente impidieron que EZMonitor obtuviera un certificado SSL para su sitio. Impactante, ¿verdad? ¿Su arma secreta contra posibles ataques de phishing? Registros CAA. Esta sencilla solución demostró ser un potente mecanismo de defensa, enfatizando su potencial para ser un importante elemento disuasorio contra futuras amenazas de phishing.
Un registro de Autorización de Autoridad de Certificación (CAA) es un tipo de registro DNS que sirve como medida de protección para los propietarios de dominios. Los registros CAA estipulan qué CA tienen permiso para emitir certificados para un dominio determinado. La esencia de esto es brindar a los propietarios de dominios la capacidad de controlar y dictar quién puede emitir certificados en su nombre.
Cuando cualquier autoridad de certificación que cumpla con el protocolo recibe una solicitud para emitir un certificado, debe verificar el Registro CAA del dominio en cuestión. Si no está autorizado explícitamente por el Registro CAA, no sólo debe rechazar la solicitud de emisión de un certificado, sino que también debe informar al contacto del dominio sobre el intento de adquisición de una CA no autorizada.
Vale la pena señalar la dicotomía en el funcionamiento de un registro CAA. Cuando existe un registro CAA, solo las CA enumeradas específicamente en él pueden crear certificados para el dominio; actúa como una lista blanca de autoridades confiables. Por otro lado, existe una advertencia interesante si no existe un Registro CAA. El sistema está diseñado para “fallar en la apertura”, lo que significa que, si no se establece ningún registro CAA para un dominio, cualquier CA es libre de crear certificados para él. Esto enfatiza la importancia de que los propietarios de dominios creen activamente registros CAA, asegurando que solo las CA confiables puedan emitir certificados para su dominio.
Los registros CAA son muy importantes porque actúan como guardianes de la seguridad de su dominio. Restringen qué CA pueden emitir certificados para su dominio, lo que garantiza que solo aquellas CA en las que confía puedan hacerlo. Básicamente, esto minimiza las posibilidades de que entidades no autorizadas obtengan certificados para su dominio.
Cuando se configuran correctamente, los registros CAA no solo funcionan como protección, sino también como conducto de comunicación (buena aliteración, ¿verdad?). Si algún usuario no autorizado intenta emitir un certificado para su dominio, el Registro CAA proporciona suficientes detalles para que la CA notifique a su organización. Este sistema de notificación proactivo puede ser invaluable, ya que ofrece información en tiempo real sobre posibles amenazas a la seguridad, lo que le permite tomar medidas oportunas y protegerse de posibles ciberataques.
¡Implementar un registro CAA es sorprendentemente sencillo de hacer! Todo lo que necesita hacer para agregar un registro CAA es agregar un registro DNS del tipo CAA para cada una de las autoridades certificadoras que desea emitir certificados para su dominio. ¡Eso es todo! Si desea ver un resumen detallado de qué hacer, consulte nuestra documentación aquí.
Implementar registros CAA es sin lugar a dudas esencial para las organizaciones que buscan mejorar la seguridad de su dominio; sin embargo, confiar únicamente en CAA Records no es la solución definitiva para los numerosos desafíos asociados con SSL. Reconociendo las complejidades y vulnerabilidades asociadas con SSL, el Departamento de Seguridad Nacional (DHS) exige que todas las agencias federales adopten salvaguardias adicionales. Específicamente, el DHS promueve el uso de monitores CT Log, como EZMonitor. Estas herramientas proporcionan una capa adicional de protección, lo que garantiza una defensa más completa y resistente contra posibles amenazas relacionadas con SSL.
Para obtener más información sobre cómo EZMonitor puede ayudar a proteger la infraestructura SSL de su organización, programe una consulta GRATUITA con uno de nuestros expertos en PKI hoy!
