¿Qué es el domain fronting? | La amenaza que pone en riesgo un dominio

A la hora de utilizar dispositivos conectados a la red, al contar con servicios como puede ser una página web, podemos encontrarnos con muchos problemas relacionados con la seguridad. Hay muchos tipos de amenazas que de una u otra forma podrían afectarnos. En este artículo vamos a hablar de qué significa Domain fronting. Vamos a hablar de este tipo de ataque que podría poner en riesgo a los usuarios. También daremos consejos para estar protegidos.

Ataques Domain fronting

Podemos decir que Domain fronting es como se conoce a una técnica maliciosa en la que un atacante puede hacer uso de un dominio legítimo, de alta reputación, para enmascarar y redirigir conexiones a servidores.

Hay que indicar que este tipo de ataques se basa en CDN o redes de distribución en la nube. Son servicios muy utilizados especialmente por empresas. Esto permite almacenar en caché diferentes elementos para lograr estar geográficamente más cerca de los clientes potenciales. Esa red de distribución en la nube va a albergar también un certificado web SSL del dominio.

¿Cómo actúa entonces el pirata informático? Lo que hace en primer lugar es configurar un servidor en el mismo CDN que esa empresa. Esa empresa cuenta con un certificado SSL que está destinado a ocultar las devoluciones de llamada a la red C2 del atacante.

Básicamente lo que hace el pirata informático en este caso es ocultarse detrás de un dominio legítimo. Se aprovecha de un equipo que previamente se ha infectado con un malware. Ese equipo está conectado en esa red CDN, donde también está el atacante.

El malware realiza una devolución de la llamada al dominio legítimo. Pero esa devolución no va al dominio propiedad del atacante, sino a uno legítimo que está alojado en esa red CDN. De esta forma se configura la sesión TLS entre el malware y el dominio legítimo que está en la red.

Lo que buscan es que la resolución DNS y una nueva llamada simule ser una llamada al dominio legítimo y por tanto el navegador va a confiar en ese certificado. El malware vuelve a realizar una llamada pero esta vez al dominio del atacante, que se encuentra en esa misma red CDN. Está oculto a través de HTTP y con una conexión TLS.

Esta solicitud va a ser enrutada pero al desenvolver el encabezado va a redirigir dicha solicitud al servidor del atacante que se encuentra en la CDN.

Posteriormente hay otro redireccionamiento. Ese ciberdelincuente no quiere que su actividad pueda ser visible en la CDN y hace que haya una segunda redirección esta vez hacia un servidor de comando y control que se encuentra fuera, en cualquier otro lugar.

Muy usado para evitar la censura

Este método es muy utilizado para evitar la censura y las limitaciones que pueda haber en determinados territorios a lo largo del mundo. Por ejemplo para poder acceder a un dominio web bloqueado o una aplicación.

El navegador Tor, por ejemplo, puede usar lo que se conoce como Domain fronting para saltarse determinados bloqueos y lograr que la conexión sea anónima. Lo mismo otras aplicaciones conocidas y que tienen problemas en determinados países, como por ejemplo Telegram o Signal.

Por tanto, podemos resumen indicando que un cliente lo primero que hace es iniciar una conexión a un dominio legítimo (lo que se conocería como Domain fronting) mediante HTTP. Posteriormente esa solicitud se recibe y se interpreta como segura en la red. El tercer paso es cifrar esa conexión mediante SSL. De esta forma pueden manipular peticiones HTTP.

Este método ha sido utilizado al o largo de los años por muchos atacantes y usuarios que han buscado la manera de ocultarse a través de un dominio legítimo.

Cómo evitar ataques Domain fronting

Siempre que navegamos por la red o hacemos uso de cualquier programa o dispositivo, es imprescindible preservar la seguridad. Debemos contar con todo lo necesario para no ser víctimas de ningún tipo de ataque que pueda poner en riesgo nuestra privacidad. Hemos visto un ejemplo claro de cómo un posible atacante podría aprovecharse de un dominio legítimo.

Usar un servidor proxy

Una de las mejores barreras de seguridad para evitar ataques Domain fronting es hacer uso de un servidor proxy. Va a actuar como intermediario para todas las conexiones que salgan de nuestra red.

Esto va a permitir también asegurarnos de que el encabezado del host HTTP va a coincidir con el dominio legítimo que se encuentra en la URL. Hay que tener en cuenta que nos podemos encontrar con diferentes opciones en este sentido. Siempre debemos elegir la que mejor se adapte a lo que buscamos, pero asegurándonos de que va a cumplir perfectamente su misión.

Actualizaciones y corregir vulnerabilidades

Otra cuestión muy importante es mantener todas las actualizaciones disponibles en los servidores que utilicemos, dispositivos y cualquier herramienta que forme parte de nuestro día a día para navegar por la red. Es esencial tener todos los parches y solucionar cualquier posible problema que pueda aparecer.

Los piratas informáticos podrían hacer uso de vulnerabilidades que aparecen. Pueden utilizarlas para llevar a cabo sus ataques fácilmente y poner en riesgo nuestra seguridad y privacidad. De ahí que sea imprescindible actualizar todo siempre.

Programas de seguridad

Hemos visto que uno de los orígenes de un ataque de Domain fronting es mediante un equipo infectado dentro de la red CDN. Por tanto, es esencial para evitar cualquier tipo de problema como este proteger los dispositivos correctamente.

Para ello algo fundamental va a ser contar con programas de seguridad. Es esencial un buen antivirus que pueda detectar malware y cualquier tipo de ataque similar. También un buen firewall que pueda interceptar conexiones fraudulentas en la red. Tenemos a nuestra disposición un amplio abanico de opciones. Muchos tipos de software que de una u otra forma puede ayudarnos.

En definitiva, los ataques de Domain fronting podrían comprometer la seguridad y redireccionar sitios web legítimos. Es importante siempre estar protegidos, contar con todo tipo de programas que puedan ayudarnos a evitar a los piratas informáticos y que podrían en un momento dado servir como puerta de entrada.