Los puntos calientes de actividad maliciosa en Internet según DomainTools

La infraestructura online nos permite disfrutar de muchos servicios que utilizamos en el día a día. Uno de los que más utilizamos son los de proveedores de correo electrónico pero también vistamos webs que están alojadas en diversos dominios. Eso no quiere decir que haya algunos lugares de Internet que se utilicen de forma dañina contra nuestros equipos. En algunas ocasiones podemos ver como amenazas como el phishing y el spam, a menudo están vinculadas a dominios específicos. Si podemos llegar a comprender cómo detectarlos entonces puede llegar a ayudar a fortalecer nuestra inteligencia de amenazas. En este artículo vamos a ver los puntos calientes de actividad maliciosa en Internet.

Informe de actividades maliciosas de 2021

La empresa de inteligencia predictiva de amenazas basada en nombres de dominio y DNS, DomainTools, ha utilizado su base de datos de más de 380 millones de dominios registrados actualmente para identificar cuáles pueden constituir amenazas y realizar un informe. Su primer informe data del año 2015 y en el de este año han pretendido volver a sus orígenes.

DomainTools con los servicios que tiene puede ofrecer una evaluación de riesgos, ayudar a perfilar a los atacantes, guiar las investigaciones de fraude en línea y mapear la actividad cibernética a la infraestructura del atacante. Así, para tomar la decisión correcta sobre el nivel de riesgo de las amenazas para su organización tiene la plataforma de investigación Iris.

En el informe se han identificado sitios maliciosos, comprobando los nombres de dominio con varias listas de bloqueo conocidas de la industria junto con un recuento de dominios maliciosos alojados. Por otra parte, además utiliza una medida de «intensidad de la señal» basada en las poblaciones de dominios defectuosos conocidos. Quizás os pueda interesar conocer qué hosting necesito para mi empresa.

La actividad maliciosa en los dominios

El informe ha desvelado que ciertos dominios de nivel superior (TLD) tienen mala fama entre los equipos de seguridad. En ese aspecto los que tienen peor reputación son los dominios genéricos más nuevos como .live, .top y .xyz.

En cambio, los dominios más tradicionales como .com, .net a los que tenemos que añadir los dominios de los países como .es, .fr y .uk no aparecen en las 10 listas principales de las páginas web sospechosas. Este informe proporciona tablas de intensidad de la señal para cada uno de estos tres tipos de amenazas (phishing, malware, spam). Este es un ejemplo con la selección del TLD .bar:

Aquí se puede ver que el nivel de dominio superior .bar tiene una intensidad de señal de malware de 108,93. En este caso se apreció que fue la señal de malware más alta de cualquier TLD en Internet según la metodología que utilizaron en DomainTools para realizar este informe. Quizás te pueda interesar conocer estos métodos que pueden utilizar para colarte malware.

Las geolocalizaciones de los dominios y otros hallazgos

A parte de los dominios, el informe también analizó las geolocalizaciones de IP. Un dato que desveló es que hay una gran cantidad de dominios maliciosos alojados en Rusia y los Estados Unidos. No obstante, en relación con la cantidad total de dominios registrados en estas localizaciones no tienen una representación especialmente importante. Por otro lado, lugares como Hong Kong y las Seychelles cuentan con una gran cantidad de dominios sospechosos en relación con todos los que tienen. Además, ciertos registradores de dominios y autoridades de certificación también exhiben niveles más altos de sitios involucrados en una actividad maliciosa.

Un dato curioso es que la mayoría de los dominios recién creados cada día no muestran señales de actividades dañinas. En cambio, el informe llega a la conclusión que la mayor parte de los dominios maliciosos son los más nuevos. En resumen, gracias al informe de DomainTools hemos visto qué dominios tienen más posibilidad de tener una actividad maliciosa y también su geolocalización.

El artículo Los puntos calientes de actividad maliciosa en Internet según DomainTools se publicó en RedesZone.