Lista de dominios de malware: qué es y cómo crearla

Contar con un excelente servicio de protección de la navegación

Una lista de dominios de malware es una lista de nombres de dominio, es decir, sitios web, en donde suelen originarse ataques de malware. Estas son listas públicas de nombres de dominio que utilizan todos los servicios de protección contra ataques cibernéticos y son actualizadas continuamente. En este artículo, explicamos cómo se crean las listas de dominios de malware y por qué es importante confiar en un servicio de protección de navegación para utilizarlas.

1. Qué es y cómo se propaga el malware

Antes de profundizar en nuestra discusión sobre las listas de dominios de malware, comencemos recordando qué es el malware y cómo se propaga. El término malware (que proviene de la unión de las palabras en inglés malicious y software) se refiere al software creado para causar algún tipo de daño a la actividad electrónica de un usuario. Una vez que entra, el malware puede afectar a todos los dispositivos con los que se comunica la red, además de la computadora o el dispositivo que se está usando en el momento. El malware, por lo tanto, se propaga rápidamente a lo largo de una red informática.

Existen diferentes tipos de malware. Un malware puede ser un gusano, un troyano o un virus informático más complejo, como un ransomware. El malware, los virus y el código malicioso pertenecen a la misma familia, pero no son lo mismo. Cada tipo de malware tiene un objetivo distinto y hoy en día ya es sabido que un antivirus no es la mejor opción para protegerse. El malware puede afectar computadoras de escritorio o portátiles, teléfonos inteligentes y dispositivos de IoT, llegando prácticamente a cualquier dispositivo digital conectado a Internet. Los sistemas operativos tampoco son seguros; Windows, Android, iOS o Apple macOS son vulnerables a los ataques. De hecho, no hay dispositivos digitales que sean potencialmente inmunes al malware: es más, aquí hay que pensar cuándo sucederá, y no si sucederá o no. En otras palabras, es mejor asumir que una empresa se verá afectada tarde o temprano y no engañarse pensando que se puede evitar.

Veamos rápidamente los tipos de malware que existen y los daños que pueden causar.

» Troyano. El usuario recibe un mensaje de chat o un correo electrónico y se le pide que siga un enlace. Cuando lo hace, se instala un software en el dispositivo de la víctima que puede causar una variedad de daños. Por ejemplo, puede tomar el control de la computadora, monitorear todas sus actividades y hasta escribir en el teclado.
» Gusano. Un gusano es un código malicioso creado con varios objetivos. En general, la intención es dañar los dispositivos y las redes corporativas. Por su naturaleza, el gusano se replica dentro de la red corporativa y, al igual que el troyano, también se introduce a través de enlaces, pero no solo de esa forma.
» Exploit. Un exploit es un defecto que se encuentra en el software corporativo. Se puede crear malware que cuando se introduce en la arquitectura de TI corporativa aprovecha el exploit y modifica el software para que realice diferentes tareas. Un ejemplo claro de estp sería un vehículo autónomo al que le modifican el software.
» Phishing. En un ataque de phishing, se le pide al usuario que realice una determinada actividad. Por ejemplo, en un mensaje le piden que siga un enlace e ingrese su usuario y contraseña del servicio en línea del banco. El sitio que solicita los datos es idéntico al sitio web del banco, pero no es el auténtico. El phishing suele preceder a un ataque de malware.
» Rootkits y bootkits. Los rootkits y los bootkits actúan a un nivel aún más alto que los programas maliciosos que utilizan vulnerabilidades de software. Tienen como objetivo bloquear los sistemas informáticos. Estos códigos también se pueden propagar como malware.
» Adware y spyware. El adware infecta el dispositivo con anuncios, mientras que el spyware espía la actividad del usuario. El spyware recopila la información y la envía al sistema que lo activó. Los keyloggers, por ejemplo, son spywares que espían lo que el usuario escribe en el teclado. Una caída en el rendimiento del dispositivo puede deberse a spyware.
» Botnets. A través de una botnet, se toma el control del dispositivo, que queda al servicio de los ciberdelincuentes. Un ejemplo actual muy común es que un dispositivo puede ser «forzado» a minar criptomonedas. Por otro lado, el malware podría «forzar» al dispositivo a ser parte de un ataque de DDOS.
» Ransomware. Dejamos para el final el malware más extendido de todos. La instalación de software en la red corporativa a través del dispositivo de un usuario con la intención de extorsionar. El objetivo es tomar datos corporativos como «rehenes», bloquear el acceso a ellos y exigir luego un rescate para desbloquearlos.

Hoy día, los ataques realizados por causas distintas a la obtención de ganancias son mucho más excepcionales que antes. La mayor parte del malware que se utiliza es el ransomware. Los cibercriminales, que se organizan en pandillas reales, apuntan (casi) exclusivamente a obtener ganancias.

2. Cómo se crea una lista de dominios de malware

Ahora que sabemos qué es el malware y cómo se propaga, es mucho más fácil comprender qué es una lista de dominios de malware. Existe una Lista de Dominios de Malware (MDL, por sus siglas en inglés), un proyecto comunitario sin fines de lucro. Es un sitio que aloja una base de datos de sitios que se conocen como espacios que alojan malware o permiten que se propague.

Cualquier persona puede agregar un dominio. Asimismo, la base de datos se alimenta de alertas automáticas que provienen de los centros de control de múltiples empresas de seguridad de TI. A modo de comparar y actualizar la base de datos en tiempo real, las empresas activan un conector de dos vías para el código del software de enlace.

Aunque en el pasado se crearon otras listas públicas de dominios de malware, en el presente todas refieren a la MDL. Como se mencionó, la actualización se realiza de forma manual o la realizan conectores de forma automática. En el momento exacto en que una organización que lucha contra el delito cibernético registra la propagación de una nueva amenaza, se identifica y registra el dominio (que generalmente es un sitio o una página web en la que se originó una amenaza).


>> Si ya activó FlashStart, lea esta guía para obtener información sobre cómo extender las listas negras para el filtrado de DNS en Internet.


3. Por qué es importante actualizar la lista de dominios

Desafortunadamente, la notificación solo se produce después de la circulación del malware. Por lo tanto, solo es posible alertar a los sistemas de protección luego de que la empresa haya sufrido un ataque. Entonces, el tiempo es un factor importante. En otras palabras: si se detecta actividad maliciosa que viene desde un dominio, por ejemplo, de China o Rusia, el usuario debe intentar bloquear su propagación jugando con el huso horario. De este modo, el usuario podría prevenir daños a empresas occidentales. En resumen: se juega una carrera contra el tiempo.

Cabe mencionar que los sistemas de filtrado de sitios del presente, y en particular los de DNS, utilizan algoritmos de inteligencia artificial. Por tanto, es posible que se pueda predecir con antelación si un dominio propaga malware o no según el comportamiento y el contenido del sitio específico. Sin embargo, este método probabilístico puede dar lugar a informes de falsos negativos, es decir, a que se reporte y subsecuentemente bloquee el acceso a un sitio que se supone que contiene malware cuando en realidad no lo contiene.

En general, la experiencia indica que es mejor activar el bloqueo y luego, durante una verificación subsecuente, desbloquear el sitio y eliminarlo de la lista de dominios de malware.

4. Por qué es mejor confiar en un servicio de filtrado de DNS

Los servicios más involucrados en la generación de listas de dominios de malware son los filtros de DNS, como FlashStart. Existen versiones de estos sistemas tanto gratuitas como pagas, y estos sistemas se diferencian por la precisión de la base de datos de sitios maliciosos (listas negras).


>> FlashStart lidera la competencia → Solicite información sobre nuestros precios


Hablemos ahora de por qué es más rentable para una empresa activar un filtro de DNS pago como el de FlashStart. En primer lugar, filtrar los DNS de los sitios es sumamente eficaz. Si el filtro estuviera basado en el nombre de dominio, sería más fácil para los cibercriminales eludir las protecciones porque, por ejemplo, pueden clonar completamente el sitio de un banco, como sucede con los sitios creados para operaciones de phishing.

Otra característica distintiva de un filtro de DNS como es FlashStart es la supervisión de red Anycast. Es un servicio global que monitorea sitios y los caminos utilizados para llegar a ellos. En términos técnicos, utilizar la red Anycast minimiza la latencia mientras se monitorea el sitio al que el usuario solicita acceso.


>> FlashStart lo protege de una amplia gama de amenazas y evita el acceso a sitios web maliciosos → Inicie su prueba gratuita ahora


Los filtros de DNS de calidad, tales como FlashStart, también utilizan inteligencia artificial para actualizar automáticamente las listas negras. Los algoritmos de inteligencia artificial contenidos en el servicio de FlashStart permiten examinar hasta 200 mil sitios por día en 24 idiomas diferentes, y son capaces de reconocer 90 categorías en función de su contenido. Se estima que se crean aproximadamente unos 250.000 sitios nuevos en todo el mundo en un período de 24 horas.

Otra característica que distingue a FlashStart de sus competidores es la integración nativa del servicio Microsoft Active Director, es decir, dentro de las redes internas de Microsoft. Otra función especial de la solución FlashStart es el geoblocking, un bloqueo de acceso a sitios que se basan en países considerados universalmente peligrosos.

El servicio basado en la nube FlashStart está disponible en diferentes modos. FlashStart PRO ha sido estudiado como método de protección del PMI y la familia. PRO Plus amplía las funciones para proteger a empresas, instituciones educativas y entidades públicas. El firewall híbrido es una solución de protección completa que también incluye el hardware de los dispositivos. Y, por último, FlashStart dispone de soluciones específicas para proveedores de servicios de Internet y carriers.


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Artículos relacionados