Un reciente estudio conjunto por WatchTowr Labs y la Fundación Shadowserver ha arrojado luz sobre una amenaza de ciberseguridad frecuentemente ignorada: la utilización de dominios caducados en infraestructuras de malware y herramientas de ataque. Al registrar más de 40 dominios abandonados, los investigadores lograron interceptar la comunicación de más de 4.000 sistemas comprometidos a nivel mundial, revelando la magnitud del problema.
Las puertas traseras digitales, conocidas también como «web shells», son herramientas implantadas en sistemas comprometidos que permiten a los atacantes un acceso remoto no autorizado. Estas puertas traseras ofrecen la posibilidad de ejecutar comandos, gestionar archivos o incluso lanzar nuevos ataques. Muchas de ellas permanecen activas durante años, manteniendo contacto con dominios que caducan con el tiempo, ofreciendo así oportunidades para que nuevos actores—legítimos o no—los registren y tomen el control de estas puertas traseras.
Los investigadores de WatchTowr Labs, en colaboración con Shadowserver, llevaron a cabo un experimento que registró 40 dominios asociados con puertas traseras activas. Los sistemas comprometidos empezaron a «reportarse» automáticamente, permitiendo a los investigadores hacerse una idea clara del alcance del problema. Descubrieron más de 4.000 sistemas intentando reconectar, incluyendo puertas traseras en servidores gubernamentales de países como China, Nigeria y Bangladesh, así como en sistemas universitarios de Tailandia, Corea del Sur y China. Entre las herramientas descubiertas destacaron r57shell y c99shell, famosas por su funcionalidad avanzada, y China Chopper, popular entre grupos avanzados de amenazas persistentes.
El estudio subraya un tema crucial en el ámbito de la ciberseguridad moderna: la gestión deficiente de infraestructuras abandonadas por atacantes. Estas puertas traseras dejadas a su suerte son fácilmente reutilizables por nuevos ciberdelincuentes, que únicamente deben registrar un dominio para acceder a sistemas previamente comprometidos.
Tras identificar estos sistemas, WatchTowr transfirió el control de los dominios a la Fundación Shadowserver. Esta organización sin ánimo de lucro, dedicada a la seguridad de internet, actualmente desvia el tráfico de estos sistemas hacia sus propios servidores, previniendo su reutilización maliciosa.
Este hallazgo pone de relieve la importancia de gestionar de forma responsable las infraestructuras digitales. La reutilización de dominios caducados plantea riesgos no solo para los sistemas comprometidos, sino que también revela una falta de concienciación sobre esta amenaza. Las empresas y gobiernos deben implementar auditorías regulares para identificar debilidades, garantizar la gestión adecuada de dominios previamente usados, y fomentar la colaboración global entre organizaciones para mitigar riesgos de manera eficaz.
Con el descubrimiento de más de 4.000 puertas traseras aún activas asociadas a dominios caducados, la investigación subraya una vulnerabilidad crítica en la seguridad digital actual. Abordar estas amenazas y las infraestructuras abandonadas es vital para fortalecer la ciberseguridad global en un mundo cada vez más digitalizado.
