La empresa china encargada de distribuir los nombres de dominio que terminan en “.top” tiene hasta mediados de agosto de 2024 para demostrar que ha puesto en marcha sistemas para gestionar los informes de phishing y suspender los dominios abusivos, o de lo contrario perderá su licencia para vender dominios. La advertencia llega en medio de la publicación de nuevos hallazgos que indican que .top fue el sufijo más común en los sitios web de phishing durante el año pasado, solo superado por los dominios que terminan en “.com”. Imagen: Shutterstock. El 16 de julio, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) envió una carta a los propietarios del registro de dominios .top. La ICANN ha presentado cientos de acciones de cumplimiento contra los registradores de dominios a lo largo de los años, pero se cree que esta es la primera en la que la ICANN ha señalado a un registro de dominios responsable de mantener un dominio de nivel superior (TLD) completo. Entre otras razones, la misiva reprendió al registro por no responder a los informes sobre ataques de phishing que involucraban dominios .top. “Con base en la información y los registros recopilados durante varias semanas, se determinó que el Registro .TOP no cuenta con un proceso establecido para investigar y actuar de manera rápida, exhaustiva y razonable sobre los informes de abuso de DNS”, se lee en la carta de la ICANN (PDF). La advertencia de la ICANN omitió el nombre del destinatario, pero los registros muestran que el registro .top es operado por una entidad china llamada Jiangsu Bangning Science & Technology Co. Ltd. Los representantes de la empresa no respondieron a las solicitudes de comentarios. Los dominios que terminan en .top estuvieron representados de manera destacada en un nuevo informe de phishing publicado hoy por Interisle Consulting Group, que obtiene datos de phishing de varios lugares, incluido el Grupo de Trabajo Anti-Phishing (APWG), OpenPhish, PhishTank y Spamhaus. El estudio más reciente de Interisle examinó casi dos millones de ataques de phishing en el último año y descubrió que los sitios de phishing representaron más del cuatro por ciento de todos los nuevos dominios .top entre mayo de 2023 y abril de 2024. Interisle dijo que .top tiene aproximadamente 2,76 millones de dominios en su establo, y que más de 117.000 de ellos fueron sitios de phishing en el último año. Fuente: Interisle Consulting Group. La ICANN dijo que su revisión se basó en información recopilada y estudiada sobre los dominios .top durante las últimas semanas. Pero el hecho de que se registren grandes volúmenes de sitios de phishing a través de Jiangsu Bangning Science & Technology Co Ltd. no es una tendencia nueva. Por ejemplo, hace más de 10 años, el mismo registrador chino era la cuarta fuente más común de sitios web de phishing, según el seguimiento del APWG. Tenga en cuenta que el informe del APWG del que se extrae a continuación se publicó más de un año antes de que Jiangsu Bangning recibiera la aprobación de la ICANN para introducir y administrar el nuevo registro .top. Fuente: Informe de phishing de APWG de 2013, dos años antes de que se creara .top. Una nueva y fascinante novedad en el panorama del phishing es el crecimiento de las páginas fraudulentas alojadas a través del Sistema de Archivos Interplanetarios (IPFS), una red descentralizada de almacenamiento y distribución de datos que se basa en redes peer to peer. Según Interisle, el uso de IPFS para alojar y lanzar ataques de phishing (que pueden hacer que los sitios de phishing sean más difíciles de desmantelar) aumentó un asombroso 1.300 por ciento, hasta aproximadamente 19.000 sitios de phishing denunciados en el último año. El informe del año pasado de Interisle descubrió que los nombres de dominio que terminan en «.us» (el dominio de nivel superior de los Estados Unidos) estaban entre los más frecuentes en las estafas de phishing. Si bien los dominios .us ni siquiera están en la lista de los 20 principales del estudio de este año, «.com» mantuvo su perenne puesto número 1 como la mayor fuente de dominios de phishing en general. Hace un año, el registrador de dominios más phishing con diferencia era Freenom, un registrador ahora desaparecido que repartía dominios gratis en varios TLD de código de país, incluidos .tk, .ml, .ga y .cf. Freenom cerró tras ser demandado por Meta, que alegó que Freenom ignoraba las denuncias de abuso mientras monetizaba el tráfico hacia dominios abusivos. Tras la desaparición de Freenom, los phishers migraron rápidamente a otros nuevos TLD de bajo coste y a servicios que permiten registros de dominios anónimos y gratuitos, en particular servicios de subdominios. Por ejemplo, Interisle descubrió que los ataques de phishing que involucraban sitios web creados en blogspot.com de Google se dispararon el año pasado más del 230 por ciento. Otros servicios de subdominios que vieron un crecimiento sustancial en los dominios registrados por phishers incluyen weebly.com, github.io, wix.com y ChangeIP, señala el informe. Fuente: Interisle Consulting. Dave Piscitello, socio de Interisle Consulting, dijo que ICANN podría enviar fácilmente cartas de advertencia similares a al menos media docena de otros registros de dominios de nivel superior, y señaló que los spammers y los phishers tienden a utilizar los mismos TLD periódicamente, incluidos .xyz, .info, .support y .lol, todos los cuales vieron considerablemente más negocios de los phishers después de la implosión de Freenom. Piscitello dijo que los registradores y registros de dominios podrían reducir significativamente la cantidad de sitios de phishing registrados a través de sus servicios simplemente marcando a los clientes que intentan registrar grandes volúmenes de dominios a la vez. Su estudio encontró que al menos el 27% de los dominios utilizados para phishing se registraron en masa, es decir, el mismo registrante pagó por cientos o miles de dominios en rápida sucesión. El informe incluye un estudio de caso en el que un estafador registró este año 17.562 dominios en el transcurso de un período de ocho horas (aproximadamente 38 dominios por minuto) utilizando dominios .lol que estaban compuestos por letras aleatorias. La ICANN intenta resolver las disputas contractuales de forma privada con la comunidad de registros y registradores, y los expertos dicen que la organización sin fines de lucro generalmente solo publica cartas de cumplimiento cuando el destinatario ignora sus avisos privados. De hecho, la carta de la ICANN señala que Jiangsu Bangning ni siquiera abrió sus notificaciones enviadas por correo electrónico. También citó al registro por retrasarse en sus cuotas de membresía de la ICANN. Con eso en mente, una revisión de la actividad de cumplimiento público de la ICANN sugiere dos tendencias: una es que ha habido muchas menos acciones públicas de cumplimiento y cumplimiento en los últimos años, incluso cuando el número de nuevos TLD se ha expandido drásticamente. La segunda es que en la mayoría de los casos, el incumplimiento de un registro o registrador de pagar sus cuotas anuales de membresía de la ICANN fue citado como motivo de una carta de advertencia. Una revisión de casi dos docenas de cartas de cumplimiento que la ICANN ha enviado a los registradores de dominios desde 2022 muestra que la falta de pago de las cuotas se citó como motivo (o la razón) de la infracción al menos el 75 por ciento de las veces. Piscitello, ex miembro de la junta directiva de la ICANN, dijo que casi todos los avisos de infracción enviados mientras estaba en la ICANN se debían a que el registrador debía dinero. «Creo que el resto es solo un toque de lápiz labial para sugerir que la ICANN está al tanto del abuso del DNS», dijo Piscitello. KrebsOnSecurity ha solicitado comentarios de la ICANN y actualizará esta historia si responden.