El secuestro de DNS de Lenovo.com: cuando Lizard Squad tomó la puerta principal de un gigante del hardware

La mañana del 25 de febrero de 2015, el enlace más visitado en internet para el mayor fabricante de PC del mundo apuntaba a una presentación de diapositivas de adolescentes aburridos mirando fijamente sus webcams, acompañada de una canción de High School Musical. Nadie había pirateado ni un solo servidor de Lenovo. Nadie había robado ninguna contraseña de Lenovo. Los atacantes nunca tocaron el edificio, la red ni el sitio web en sí.

Cambiaron un registro en el registrador de dominios de la empresa — y eso fue suficiente para apoderarse de la puerta principal de Lenovo, redirigir su correo y convertir su marca en objeto de burla durante una tarde.

Este es Domain Mayday EP17: el secuestro de DNS de Lenovo.com. Es una historia pequeña en números — unas pocas horas de inactividad, ningún sistema de producción comprometido, ninguna base de datos de clientes filtrada. Pero es una de las demostraciones más nítidas que se han realizado de una lección que la mayoría de las empresas aún comete el error de ignorar: tu dominio es tan seguro como el registrador que lo mantiene, y ese registrador casi nunca forma parte de tu programa de seguridad.

Un gigante del hardware cuyo dominio es su cara

Para 2015, Lenovo era el mayor fabricante de PC del mundo, enviando más portátiles y computadoras de escritorio que nadie en la Tierra. Para una empresa de ese tamaño, lenovo.com no es un activo de marketing. Es el centro estructural de toda la operación: donde los clientes compran, donde llegan los tickets de soporte, donde fluyen los registros de garantía y, de manera crucial, el dominio detrás de cada dirección de correo electrónico @lenovo.com de la empresa.

Cuando una marca alcanza esa escala, el dominio deja de ser una dirección de sitio web y se convierte en infraestructura. Cada comunicado de prensa, cada caja de venta, cada firma de empleado, cada confirmación de pedido pasa por él. Lo que significa que quien controla el DNS del dominio controla no solo el sitio web, sino la verdad sobre a dónde apunta lenovo.com — tanto para los navegadores como para los servidores de correo.

Ese es el premio que Lizard Squad buscaba. No el sitio web. El puntero hacia él.

25 de febrero de 2015: la extraña redirección

Arte conceptual colorido y vívido de la fachada de vidrio de una corporación cuyo letrero iluminado ha sido reemplazado durante la noche por una valla publicitaria de broma estridente, rosas neón y azules eléctricos, una multitud mirando hacia arriba con confusión, sin logotipos de marca

A partir de esa tarde, los visitantes que escribían lenovo.com no llegaban a Lenovo. El sitio había sido reemplazado por una presentación de diapositivas de fotos de webcam de adolescentes sentados frente a su computadora, con expresión vacía y ligeramente avergonzados, todo al compás de "Breaking Free" de High School Musical. The Register describió la misma escena como una presentación de diapositivas de fotos de webcam de un joven de aspecto aburrido en lugar de los productos habituales de la empresa.

Era deliberadamente absurdo, y lo absurdo era el objetivo. Esto no era un robo silencioso de datos diseñado para pasar desapercibido. Era una humillación pública, escenificada en la URL más visible que tenía la empresa.

La atribución estaba a la vista de todos. El HTML de la página de reemplazo atribuía su construcción "renovada y mejorada" a Ryan King y Rory Andrew Godfrey — dos nombres que los internautas rápidamente vincularon a Lizard Squad, el mismo grupo que había pasado la temporada navideña anterior dejando fuera de servicio PlayStation Network y Xbox Live. El grupo se atribuyó la responsabilidad en Twitter, citando las letras de High School Musical de vuelta a Lenovo para mayor efecto.

Y luego las cosas empeoraron más allá de la vergüenza. Porque los atacantes controlaban el DNS de lenovo.com, no solo eran dueños del sitio web — eran dueños del correo. Como señaló un medio, el secuestro significaba que podía interceptar el correo electrónico de Lenovo también, hasta que la redirección fue desactivada. Lizard Squad posteriormente publicó dos mensajes enviados a empleados de Lenovo durante la ventana de tiempo en que tuvo el control. Uno de ellos, con un siniestro humor irónico, hacía referencia a un portátil Lenovo Yoga que quedó "bloqueado" cuando un cliente intentó usar la propia herramienta de Lenovo para eliminar un software llamado Superfish.

Ese detalle resume todo el motivo en una sola frase.

El trasfondo de Superfish

Para entender por qué Lenovo específicamente, hay que retroceder cinco días.

Superfish era un adware que Lenovo había estado incluyendo con algunas de sus computadoras desde septiembre de 2014. A simple vista era solo un inyector de anuncios — software que insertaba anuncios de compras adicionales en tu navegador. Pero la forma en que funcionaba era catastrófica. Para inyectar anuncios en páginas cifradas, Superfish instalaba su propio certificado raíz para poder introducir anuncios incluso en páginas cifradas — en otras palabras, rompía el candado que protege HTTPS.

Peor aún, el certificado usaba la misma clave privada en todas las máquinas, y esa clave era descifrable. Cualquier atacante que la extrajera podía hacerse pasar por cualquier sitio web HTTPS ante cualquier portátil Lenovo que ejecutara Superfish. No era un fallo teórico. El 20 de febrero de 2015, el Departamento de Seguridad Nacional de los Estados Unidos recomendó desinstalarlo junto con su certificado raíz.

Así que en el transcurso de una semana, una empresa que vendía seguridad y confianza a empresas había enviado millones de portátiles con una vulnerabilidad de intermediario integrada, y luego vio cómo su propia herramienta de eliminación dejó inutilizable al menos la máquina de un cliente. El secuestro de Lizard Squad se presentó como una protesta — un golpe con su propia medicina tras el escándalo de Superfish. La presentación de diapositivas de webcam era teatro. El mensaje era: rompiste el cifrado para tus clientes, así que nosotros romperemos tu puerta principal por ti.

Cómo ocurrió: el registrador era el punto débil

Arte conceptual colorido y vívido de un panel de control secuestrado con diales y switches brillantes, una mano en la sombra redirigiendo la puerta principal de una marca y sus conductos de correo por un nuevo camino iluminado en neón, verde azulado eléctrico y magenta, sin logotipos de marca

Esta es la parte que debería mantener despiertos a los CISOs: la propia infraestructura de Lenovo nunca fue comprometida.

Los atacantes fueron tras el registrador en su lugar. Los analistas de seguridad rastrearon el secuestro hasta el compromiso de Web Commerce Communications — más conocido como Webnic.cc, un registrador con sede en Malasia. Como señaló Help Net Security, los hackers no comprometieron los servidores de Lenovo; en cambio, comprometieron los de Web Commerce Communications (Webnic.cc), el registrador en el que estaba registrado el dominio de Lenovo.

Esta no era la primera mala semana de Webnic. Solo dos días antes, el dominio vietnamita de Google había sido redirigido de la misma manera. SecurityWeek resumió la conexión sin rodeos: Lizard Squad secuestró los registros DNS de Google Vietnam y Lenovo tras vulnerar los sistemas de WebNIC, un registrador con sede en Malasia. Brian Krebs, citando a los investigadores que lo analizaron, informó que ambos secuestros fueron posibles porque los atacantes tomaron el control de Webnic.cc — un registrador que, según ese mismo informe, servía esos dos dominios y otros 600 000 más.

La mecánica, según el informe de Krebs, se lee como un manual de por qué un registrador es un objetivo muy apetecible:

La vía de entrada. Lizard Squad utilizó una vulnerabilidad de inyección de comandos en Webnic.cc para cargar un rootkit — dándoles acceso persistente y oculto a los sistemas del registrador.
Las llaves maestras. También obtuvieron acceso al almacén de "auth codes" de Webnic — los secretos de transferencia EPP que pueden mover cualquier dominio a otro registrador.
La redirección. Con control a nivel de registrador, cambiaron los registros de servidores de nombres de lenovo.com. The Register señaló que la configuración de servidores de nombres del dominio fue actualizada de manera sospechosa ese día para apuntar a servidores DNS pertenecientes a la empresa de alojamiento web Cloudflare — usando Cloudflare para enmascarar el verdadero servidor de destino.
La captura del correo. De manera crucial, no se detuvieron en el sitio web. Cambiaron los registros del servidor de correo permitiéndoles interceptar los mensajes enviados a las direcciones de Lenovo. El DNS controla más que el registro A; también controla el registro MX. Ser dueño del dominio significaba ser dueño del correo.

Ese último punto es el que la gente olvida. Una desfiguración es ruidosa y obvia. La interceptación silenciosa de correo electrónico es la mitad peligrosa de un secuestro de DNS — y se deriva del mismo acto único de cambiar un registro en el registrador.

Respuesta y consecuencias

Lenovo actuó rápido, porque había poco más que pudiera hacer — la solución estaba en el registrador, no en sus propios servidores. La empresa confirmó que había sido víctima de un ciberataque cuyo efecto fue redirigir el tráfico del sitio web de Lenovo, y al parecer había restaurado el acceso completo a su sitio web público para la tarde del 25 de febrero. Cloudflare, al descubrir que su nombre estaba siendo utilizado en la cadena de redirección, desconectó los servidores de nombres maliciosos, lo que también puso fin a la interceptación de correo electrónico.

La limpieza más importante correspondía a Webnic. Un único fallo de inyección de comandos en un registrador había puesto dos de los dominios más valiosos de internet — el de Lenovo y una propiedad de Google — en manos de un grupo de hackers orientado a las travesuras en un intervalo de 48 horas. El incidente se convirtió en un caso de estudio permanente sobre el riesgo del registrador, y un recordatorio de que "600 000 otros dominios" estaban detrás del mismo sistema comprometido.

Para Lenovo, el daño duradero fue reputacional. Llegando días después de Superfish, el secuestro convirtió un grave fallo de seguridad en una historia en dos actos: primero la empresa traicionó la confianza de sus propios clientes, luego perdió visiblemente el control de su propio nombre. La presentación de diapositivas de webcam es lo que la gente recordó, pero el compromiso del registrador es lo que realmente importó.

Lo que esto enseña: tu registrador es tu verdadero perímetro

La incómoda lección del EP17 es que Lenovo hizo la mayoría de las cosas bien en las partes que controlaba, y aun así fue secuestrado a través de la parte que no controlaba.

Algunas conclusiones que se generalizan mucho más allá de 2015:

El registrador está dentro de tu límite de confianza lo trates así o no. Puedes reforzar todos los servidores que posees y aun así perder el dominio en un tercero que probablemente nunca hayas auditado desde el punto de vista de la seguridad. El atacante toma el camino de menor resistencia — y el registrador suele ser más blando que tú.
El control del DNS es el control del correo. Un secuestro no es solo una página de inicio desfigurada. El mismo cambio de registro redirige silenciosamente el correo electrónico, permitiendo la interceptación, el restablecimiento de contraseñas contra tu dominio y la suplantación de identidad. Trata el registro MX como un activo crítico de seguridad, no como fontanería.
Bloquea lo que se puede bloquear. Los bloqueos de registrador (registrar-lock / clientTransferProhibited), el acceso restringido a los códigos EPP/auth y los bloqueos a nivel de registro para dominios de alto valor existen precisamente para evitar cambios no autorizados de servidores de nombres y transferencias. Son económicos. La consecuencia de omitirlos es que tu marca aparezca en una presentación de diapositivas de webcam.
DNSSEC eleva el costo. Por sí solo no habría detenido una toma de control de cuenta del registrador, pero las zonas firmadas y el DNS monitorizado hacen que la manipulación silenciosa sea más difícil de ejecutar sin ser detectada.
Monitoriza tu propio DNS para detectar desviaciones. El hecho de que los servidores de nombres de Lenovo cambiaran a un proveedor inesperado fue la señal de alerta. El monitoreo continuo de los registros NS y MX transforma "nos enteramos cuando los clientes vieron una presentación de diapositivas" en "recibimos una alerta cuando cambió el registro."

El tema común: el control de dominios es un dominio de seguridad propio, y la mayoría de las empresas lo han externalizado a un proveedor que nunca aparece en su modelo de amenazas.

El ángulo de Namefi

Ilustración colorida de una propiedad de dominio verificable y resistente a manipulaciones — una tarjeta de dominio asegurada por un escudo verde, un token verde de Namefi y continuidad de DNS

El secuestro de Lenovo es, en esencia, un problema de control y procedencia. El atacante no necesitaba ser Lenovo; solo necesitaba convencer al sistema que controla lenovo.com de que apuntara a algún lugar nuevo. No existía un registro sólido, independiente y verificable de quién controla legítimamente el dominio — solo una cuenta de registrador que podía ser silenciosamente superada mediante una vulnerabilidad que nadie en Lenovo podía ver.

Namefi está construido alrededor de la idea de que los dominios deben comportarse como activos nativos de internet con una propiedad verificable y resistente a manipulaciones. Cuando el control de un dominio está anclado a una propiedad criptográfica que es auditable y difícil de anular silenciosamente — en lugar de una única cuenta de registrador con un código auth recuperable — un intercambio no autorizado de servidores de nombres deja de ser una edición silenciosa en el backend y se convierte en una ruptura visible y demostrable en la cadena de custodia. La propiedad tokenizada mantiene el dominio compatible con DNS mientras hace que "¿quién controla este nombre y acaba de cambiar?" sea una pregunta con una respuesta verificable.

Lizard Squad convirtió la puerta principal de un gigante del hardware en una broma en una tarde explotando el eslabón más débil de la cadena de propiedad. La defensa no es un sitio web más ruidoso. Es hacer que la propiedad del nombre en sí sea algo que un atacante no pueda falsificar silenciosamente.

Fuentes y lecturas adicionales

Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
The Register — Oh No, Lenovo! Lizard Squad on the attack, flashes swiped emails
Engadget — Lenovo's website hijacked, apparently by Lizard Squad
SecurityWeek — Lizard Squad Hijacks Lenovo Website, Emails
Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
BankInfoSecurity — Lenovo Website Hijacked
IT Security Guru — Lizard Squad domain hijack gives control of Google Vietnam and Lenovo website
CNBC — Lenovo website breached, hacker group Lizard Squad claims responsibility
We Live Security (ESET) — Lenovo website hacked, Lizard Squad claims responsibility
Computing — Lenovo website hijacked by Lizard Squad after Superfish debacle
Wikipedia — Superfish
CISA — Lenovo Superfish Adware Vulnerable to HTTPS Spoofing