Cuando la propia ICANN fue víctima de phishing: la brecha de spear-phishing de 2014 en el corazón de Internet
A finales de 2014, ICANN —el organismo que coordina el sistema de nombres de dominio de Internet— admitió que un correo electrónico de spear-phishing que suplantaba su propio dominio había cosechado las credenciales del personal y otorgado a los atacantes acceso administrativo al Sistema Centralizado de Datos de Zona. Un análisis en profundidad de Domain Mayday sobre cómo la propia autoridad del DNS fue víctima de phishing, qué quedó expuesto y por qué sigue siendo relevante.
- domains
- security
- dns
- domain-security
Existe un tipo especial de titular que hace que todo el sector de la seguridad se detenga. No "otra minorista comprometida", no "otra startup filtra una base de datos", sino el día en que la institución en la que todos los demás confían admite que fue hackeada de la manera más ordinaria posible.
En diciembre de 2014, esa institución fue ICANN. La Corporación de Internet para la Asignación de Nombres y Números —la organización sin ánimo de lucro que coordina todo el sistema de nombres de dominio, la guardiana de las reglas que permiten que namefi.io y google.com y todas las demás direcciones del mundo apunten a un servidor— reveló que algunos de sus empleados habían hecho clic en un enlace de un correo electrónico falso, habían introducido sus contraseñas en una página de inicio de sesión falsa y habían entregado a los atacantes las llaves de los sistemas internos, incluido el Sistema Centralizado de Datos de Zona (CZDS), el repositorio a través del cual se solicitan y acceden los archivos de zona de los dominios de nivel superior del mundo.
La organización que define cómo funciona la confianza en Internet fue víctima de phishing. Con un correo electrónico falsificado. Que fingía ser ICANN.
Este es el EP11 de Domain Mayday — y es el episodio donde la llamada proviene del interior de la casa.
Qué es ICANN y por qué una brecha allí es simbólica
Para entender por qué esta historia causó tanto impacto, hay que comprender qué hace realmente ICANN.
ICANN no es una empresa en la que compras un dominio. Se sitúa un nivel por encima de eso. Coordina el sistema global de identificadores únicos que hace que Internet sea navegable: los dominios de nivel superior (.com, .org, .io y los cientos de nuevos), las reglas que siguen los registros y los registradores, y —a través de su función IANA— la cima de la jerarquía del DNS, la zona raíz de la que depende en última instancia cualquier otra consulta.
Si los dominios son las direcciones de Internet, ICANN gestiona el directorio maestro de la oficina de correos. Una brecha en un registrador es grave. Una brecha en ICANN es simbólica, porque ICANN se supone que es la autoridad —la única institución cuyo trabajo consiste en mantener el sistema de nombres ordenado y de confianza. Cuando la autoridad en materia de nombres de Internet queda comprometida, la incómoda pregunta es obvia: si a ellos les puede pasar, ¿a quién no?
Finales de 2014: el compromiso
ICANN detalló la cronología en su propio comunicado público, publicado el 16 de diciembre de 2014, con una franqueza admirable: "Creemos que un ataque de 'spear phishing' se inició a finales de noviembre de 2014."
La mecánica era casi insultantemente simple. Según la descripción de ICANN, el ataque "involucró mensajes de correo electrónico elaborados para parecer que provenían de nuestro propio dominio y enviados a miembros de nuestro personal." Los empleados recibieron correos electrónicos que parecían provenir de icann.org —desde el interior de la propia ICANN. Algunos hicieron clic. Según la reconstrucción de The Register, los empleados "hicieron clic en un enlace de los mensajes que los llevó a una página de inicio de sesión falsa —en la que el personal introdujo sus nombres de usuario y contraseñas", entregando así a los atacantes sus credenciales de correo electrónico de trabajo. El seco veredicto de The Register sobre la defensa ausente: "Sin rastro de autenticación de dos factores, entonces."
El resultado, en palabras de la propia ICANN: "El ataque resultó en el compromiso de las credenciales de correo electrónico de varios miembros del personal de ICANN." Help Net Security lo expresó de forma aún más directa: "Varios miembros del personal fueron engañados para que entregaran sus credenciales de correo electrónico" a los atacantes.
Sin vulnerabilidad de día cero. Sin malware exótico. Un correo electrónico convincente y un formulario de inicio de sesión falso —el truco más antiguo de Internet, ejecutado contra las personas que ayudan a gestionar Internet.
Lo que fue accedido: el sistema de datos de zona en el centro
Las credenciales de correo electrónico robadas son por sí mismas un problema grave. Lo que convirtió esta brecha en un episodio de Domain Mayday es a qué llegaron los atacantes con ellas.
A principios de diciembre de 2014, ICANN descubrió que los inicios de sesión comprometidos habían sido reutilizados para acceder a otros sistemas. El más grave fue el Sistema Centralizado de Datos de Zona —CZDS, la plataforma donde las partes autorizadas solicitan y descargan los archivos de zona de los dominios genéricos de nivel superior del mundo. La revelación de ICANN es contundente: "El atacante obtuvo acceso administrativo a todos los archivos del CZDS."
Acceso administrativo. A todos los archivos. The Register explicó por qué eso importa: el CZDS "otorga a las partes autorizadas acceso a todos los archivos de zona de los dominios genéricos de nivel superior del mundo." Los usuarios del sistema no son personas ordinarias —son, como señaló The Register, "muchos de los administradores de los registros y registradores del mundo." Los atacantes no solo accedieron a una base de datos; accedieron a la base de datos en la que los propios guardianes del sistema de nombres inician sesión.
Más allá de los archivos de zona, la brecha expuso los datos personales que los usuarios del CZDS habían registrado. Según ICANN, el botín "incluía copias de los archivos de zona del sistema, así como información introducida por los usuarios como nombre, dirección postal, dirección de correo electrónico, número de fax y teléfono, nombre de usuario y contraseña." Nombres de usuario y contraseñas de las personas que gestionan los TLD —almacenados en un sistema al que un atacante había accedido portando una credencial robada.
Las credenciales llegaron aún más lejos. ICANN confirmó que los atacantes también tocaron el GAC Wiki (el espacio del Comité Asesor Gubernamental), el Blog de ICANN y el portal de información WHOIS, aunque informó de que los dos últimos sistemas no se vieron afectados y de que en el wiki solo hubo una visualización limitada.
Cómo ocurrió: la credencial que decía "ICANN"
Si se eliminan las capas técnicas, el ataque es un juego de confianza.
El spear phishing se diferencia del phishing ordinario en su precisión. No son un millón de correos electrónicos spam con la esperanza de que alguien muerda el anzuelo; son un pequeño número de mensajes cuidadosamente elaborados dirigidos a personas específicas, diseñados para parecer tráfico interno de rutina. Aquí el disfraz era el más poderoso posible: el correo electrónico parecía provenir de icann.org. Como resumió The Register, "Los atacantes enviaron al personal correos electrónicos falsificados que parecían provenir de icann.org."
Piense en la psicología. Un correo electrónico del dominio de su propia organización no dispara las alarmas. Tampoco lo hace una página de inicio de sesión que parece la que usted usa a diario. Todo el ataque explotó el hecho de que interno y familiar se sienten igual que seguro —y no son lo mismo. La barra de direcciones decía una cosa; la página que había detrás recopilaba todo lo que se escribía en ella.
La única mitigación genuina de ICANN estaba en el lado del almacenamiento: las contraseñas robadas no estaban almacenadas en texto plano. Como señala la divulgación, "las contraseñas se almacenaban como hashes criptográficos con sal" —mejor que la alternativa, pero, como señaló The Register, la protección solo se mantiene si los usuarios no reutilizaron esos mismos inicios de sesión en otro lugar, porque los hashes aún podían ser descifrados sin conexión. La brecha no terminó con la descarga; inició una lenta carrera entre los defensores que rotaban las contraseñas y los atacantes que intentaban revertirlas.
Respuesta y consecuencias
Para su crédito, ICANN gestionó la divulgación mejor que la brecha en sí.
Hizo pública la información en cuestión de semanas, desactivó las contraseñas del CZDS, notificó a los usuarios afectados y —notablemente— enmarcó la transparencia como un deber y no como una responsabilidad. La organización declaró que estaba "proporcionando información sobre este incidente públicamente, no solo por nuestro compromiso con la apertura y la transparencia, sino también porque compartir información sobre ciberseguridad ayuda a todos los involucrados a evaluar las amenazas a sus sistemas." También informó de que un programa de mejora de la seguridad iniciado antes ese mismo año había "ayudado a limitar el acceso no autorizado obtenido en el ataque."
La línea más importante para el resto de Internet fue la que indicaba lo que no cayó. ICANN confirmó: "este ataque no impacta ningún sistema relacionado con IANA." IANA —como la describió Help Net Security, la función que "gestiona la zona raíz en el Sistema de Nombres de Dominio (DNS)"— es la verdadera cima de la pirámide de nombres de Internet. Si los atacantes la hubieran alcanzado, esto no habría sido una vergonzosa filtración de datos; habría sido una emergencia estructural.
El momento empeoró el bochorno. El titular de The Register lo expresó sin rodeos: el "momento del ataque de spear-phishing no podría ser peor para el supervisor de nombres de dominio." ¿Por qué? Porque ICANN "esperaba que le entregaran el control del contrato crítico de IANA el año siguiente" —la transición de tutela que estaba entonces en negociación. Ser víctima de phishing es una mala audición para "confíen en nosotros con el corazón del DNS." (Como contexto, tampoco fue el primer susto en el CZDS de ICANN en 2014: The Register mencionó un incidente anterior en abril en el que "a varios usuarios se les otorgó erróneamente acceso de administrador al sistema.")
Y los datos tuvieron una larga vida posterior. En una actualización del 21 de febrero de 2017 añadida a su propio comunicado, ICANN reconoció que la información de la brecha estaba reapareciendo: "parte de la información obtenida en el incidente de spear phishing que anunciamos en 2014 está siendo ofrecida a la venta en foros clandestinos." CyberScoop informó sobre el precio años después: "los datos todavía se están pasando y vendiendo en mercados negros por 300 dólares", con afirmaciones de que nunca habían sido filtrados antes. Un solo clic a finales de 2014 todavía generaba ventas en 2017.
Lo que esto enseña: todos son vulnerables al phishing, incluso la autoridad del DNS
La lección del EP11 no es "ICANN fue descuidada." Es algo más humilde.
Todos son vulnerables al phishing. No los descuidados. No los que no están entrenados. Todos. La organización que literalmente gobierna los nombres de Internet —integrada por personas que se dedican a pensar en DNS, seguridad e infraestructura— igualmente tuvo varios empleados que introdujeron sus credenciales en una página falsa porque el correo electrónico parecía interno. El phishing no vence a tu conocimiento; vence a tu atención, durante los dos segundos que tarda en hacer clic.
De este episodio se pueden extraer algunas conclusiones duraderas:
- Las credenciales son el perímetro. Los atacantes nunca rompieron la criptografía de ICANN ni explotaron un fallo de servidor. Tomaron prestada una contraseña. Una vez que la identidad es la puerta, la identidad robada es la brecha —que es exactamente por qué el phishing sigue siendo el ataque más fiable del mundo.
- La autenticación multifactor no es opcional para los sistemas privilegiados. El pinchazo de The Register sobre "sin rastro de autenticación de dos factores" es el punto central. Un segundo factor probablemente habría convertido el robo de credenciales en un no-evento.
- El movimiento lateral es el multiplicador. El daño provino de la reutilización —inicios de sesión de correo electrónico reutilizados para acceder al CZDS, el wiki y el portal. Segmentar el acceso y no permitir que una credencial robada abra muchas puertas es lo que contiene una brecha.
- Los datos comprometidos son para siempre. La reventa de 2017 demuestra que "restablecimos las contraseñas" cierra el incidente pero no la exposición. Los nombres, direcciones y números de teléfono no se filtran al revés.
- La autoridad no es lo mismo que la inmunidad. Ser la institución que define la confianza no te hace inmune al ataque más básico sobre ella. Si acaso, te convierte en un objetivo más valioso.
El ángulo de Namefi
La brecha de ICANN es, en esencia, una historia sobre quién controla los registros —y cómo ese control fue secuestrado a través de un único inicio de sesión robado en un sistema centralizado.
Esa es la debilidad estructural sobre la que vale la pena reflexionar. Cuando la prueba de quién está autorizado para acceder o gestionar datos críticos de dominio vive detrás de un nombre de usuario y contraseña en una sola plataforma, todo el modelo de confianza se derrumba en el momento en que esas credenciales son robadas mediante phishing. No hay una segunda verificación. Un correo electrónico convincente y una contraseña reutilizada fueron suficientes para otorgar acceso administrativo al sistema de datos de zona en el centro del mundo de los nombres.
Namefi está construido sobre una premisa diferente: que la propiedad y el control de los dominios deben ser verificables, resistentes a la manipulación y no dependientes de un único secreto en una única bandeja de entrada. Al representar la propiedad de dominios como tokens en cadena que permanecen compatibles con el DNS, el control se convierte en algo que se puede probar y auditar criptográficamente —no solo en algo protegido por una contraseña que un correo electrónico de spear-phishing puede robar. Esto no hace a nadie inmune al phishing; nada lo hace. Pero reduce el radio de la explosión, de modo que una credencial prestada ya no está a un paso de las llaves del reino.
La imagen perdurable del EP11 es la carta falsa que pasó ante el guardián de las llaves maestras de Internet porque vestía el uniforme correcto. La solución no es un guardián más inteligente. Es un sistema donde las propias llaves pueden demostrar que son reales.
Fuentes y lecturas adicionales
- ICANN — ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented (fuente primaria, incluida la actualización de 2017)
- The Register — ICANN HACKED: Intruders poke around global DNS innards
- Help Net Security — ICANN systems breached via spear-phishing emails
- Computerworld — ICANN data compromised in spearphishing attack
- WeLiveSecurity (ESET) — ICANN computers compromised by hackers
- Associations Now — ICANN Systems Infiltrated in "Spear Phishing" Attack
- Slate — ICANN Got Hacked
- Domain Incite — Hacked ICANN data for sale on black market
- Slashdot — Hackers Compromise ICANN, Access Zone File Data System
- CyberScoop — Hacked ICANN data still sells for hundreds of dollars years after breach
- DomainGang — ICANN alerts users of CZDS & ICANN Wiki about security breach
Sobre quienes escriben
Guías relacionadas
- El Minuto de $12: Cuando Alguien Compró Google.com en SilencioEn septiembre de 2015, un exempleado de Google compró google.com a través de Google Domains por $12 y tuvo el control administrativo del dominio más valioso del mundo durante aproximadamente un minuto. La historia de Sanmay Ved, la recompensa de $6,006.13 y lo que un minuto de propiedad revela sobre quién controla realmente un dominio.
- Domain Mayday EP03: El hackeo de cuentas de Bitcoin en Twitter en 2020El 15 de julio de 2020, unos atacantes se introdujeron por teléfono en Twitter, secuestraron las cuentas verificadas de Obama, Biden, Musk, Gates, Apple y Uber, y ejecutaron una estafa de duplicación de Bitcoin que les reportó unos 118.000 dólares. Un análisis en profundidad de cómo se robó el control de una identidad en línea y qué nos enseña sobre ser dueño de un nombre.
- Domain Mayday EP05: El secuestro masivo de dominios DeFi en Squarespace en 2024En julio de 2024, una migración de registrador de Google Domains a Squarespace convirtió una autenticación predeterminada débil en una superficie de ataque masiva. Los atacantes secuestraron los dominios de proyectos cripto y DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — y los redirigieron a sitios de phishing que vaciaban carteras. Así es como una migración "sin fricciones" dejó cientos de puertas sin cerrar, y lo que eso nos enseña sobre la seguridad del registrador y el MFA.
- El ataque al front-end de BadgerDAO: $120M drenados a través de un solo script inyectadoEn diciembre de 2021, atacantes comprometieron la cuenta de Cloudflare de BadgerDAO e inyectaron un script malicioso en el front-end de su sitio web. Los contratos inteligentes auditados nunca fueron tocados — sin embargo, ~$120M salieron por la puerta a través de aprobaciones de billeteras que los usuarios firmaron sin saberlo. Un análisis profundo sobre por qué el sitio web forma parte de tu superficie de seguridad.