Hace un año y medio, el mundo comenzaba a tomar conciencia de la magnitud global de la pandemia de COVID-19. Lamentablemente, los actores maliciosos que aprovechan eventos notorios para desviar tráfico hacia sus sitios web también tomaron conciencia. En respuesta a esta situación, la Oficina del Director de Tecnologías (OCTO) de la ICANN desarrolló el Proyecto de Informe y Recopilación de Información sobre Amenazas a la Seguridad de los Nombres de Dominio (DNSTICR) para detectar las amenazas a la seguridad del Sistema de Nombres de Dominio (DNS) relacionadas con el COVID-19.
Identificar instancias de phishing o malware en cadenas de caracteres genéricas implica un desafío, sobre todo cuando pueden tener contenidos o contextos localizados. El enfoque que adoptó la OCTO para el proyecto DNSTICR consiste en buscar términos específicos en las nuevas registraciones de nombres de dominio relacionadas con el COVID-19, cuantificar los nombres de dominio que son claramente maliciosos y reportarlos ante los registradores correspondientes. La información detallada sobre este trabajo se puede consultar aquí.
El 4 de abril de 2020, registramos el nivel máximo de nuevos dominios relacionados con el COVID-19, con un total de 5.543 dominios registrados en un día. Esta cifra disminuyó notablemente en mayo y junio, y la curva se aplanó en gran medida desde entonces.
De los 210.939 dominios relacionados con la pandemia que se registraron entre mayo de 2020 y agosto de 2021, la mayor parte fue inofensiva o carecía de reputación. En total, 12.860 (6,1%) dominios estuvieron incluidos en los informes de los proveedores de servicios de reputación. Si continuamos acotando este conjunto de dominios y nos ceñimos a aquellos que tienen un alto nivel de confianza y múltiples evidencias, notamos que se señalan 3.791 dominios (1,8% de nuestras registraciones relacionadas con la pandemia).
Esto muestra la diferencia entre la cantidad de dominios que podrían haber sido clasificados como “sospechosos” y la cantidad de dominios con evidencias de uso indebido.
Tendencias
Notamos otras tendencias en los datos que vamos recopilando. Por ejemplo, en las etapas iniciales el término “corona” era el más frecuente entre las registraciones. Sin embargo, a medida que observamos los datos más allá del mes de abril, vemos que lo reemplaza el término “covid”. Al observar los datos a lo largo de los 18 meses, vemos que el término predominante es “covid”, presente en casi el 25% de las registraciones analizadas.
Los términos que aparecen en menos instancias también varían a lo largo del tiempo. Por ejemplo, el termino “vacuna” representa tan solo el 4% de toda nuestra muestra, pero vemos que las registraciones en las cuales aparece comienzan a aumentar en noviembre de 2020 y llegan a su nivel máximo a mediados de enero de 2021.
Estas tendencias reflejan lo que notamos en otras observaciones acerca de cómo fue evolucionando el lenguaje de la pandemia a lo largo del tiempo; por ejemplo, Google Trends muestra patrones similares.
Resumen
En los últimos 18 meses, vimos un incremento, y luego una disminución, en la cantidad de registraciones de nuevos dominios que coinciden con un conjunto de palabras clave relacionadas con la pandemia de COVID-19. Si bien la mayoría de estos dominios no demostró ningún tipo de comportamiento malicioso, una minoría sí se identificó como perjudicial.
A partir de esta observación, notamos que muchas de las campañas maliciosas son predecibles: ofrecen incentivos, a menudo de índole económica, o simulan páginas de acceso legítimas para robar credenciales o propagar malware. La única diferencia es que, en el conjunto al cual hacemos referencia, el “anzuelo” para atraer a las víctimas implica de algún modo al COVID-19.
El proyecto DNSTICR se mantiene en curso y continúa evolucionado a la par de los cambios constantes de la pandemia de COVID-19. La OCTO continuará brindando actualizaciones sobre este proyecto para la comunidad de la ICANN, registradores, registros, profesionales de la seguridad y usuarios de Internet.
Publicaremos un informe más detallado a la brevedad.