El secuestro DNS de Malaysia Airlines: "404 — Avión No Encontrado"
En enero de 2015, Lizard Squad secuestró el DNS de malaysiaairlines.com y reemplazó el sitio de la aerolínea con un lagarto vestido de esmoquin y la burla "404 — Avión No Encontrado". Ningún servidor fue vulnerado — los atacantes simplemente cambiaron a dónde apuntaba el dominio. Un análisis en profundidad de Domain Mayday sobre cómo el DNS se convirtió en la puerta de entrada más expuesta de la aerolínea.
- domains
- security
- dns
- domain-security
El avión nunca fue encontrado. En enero de 2015, tampoco lo fue el sitio web.
En la mañana del 26 de enero de 2015, cualquiera que escribiera malaysiaairlines.com en un navegador no llegaba a la aerolínea. Llegaba a un hacker. La familiar página de reservas había desaparecido, reemplazada por la imagen de un lagarto con sombrero de copa y monóculo, y un único y cruel titular: "404 — Avión No Encontrado." Debajo: "Hackeado por Lizard Squad — Califato Cibernético Oficial." La barra de título de un navegador decía, simplemente, "ISIS will prevail."
Era una broma sobre un cementerio. Menos de un año antes, el vuelo 370 de Malaysia Airlines había desaparecido del radar con 239 personas a bordo. Cuatro meses después, el vuelo 17 fue derribado sobre Ucrania. Ahora un grupo de adolescentes había convertido el propio duelo de la aerolínea en el remate de un chiste servido en su propia puerta de entrada — sin tocar jamás sus servidores.
Esa última parte es toda la historia. Malaysia Airlines no fue "hackeada" de la manera en que la mayoría de la gente lo imagina. Sus sistemas de reservas estaban intactos. Sus datos de pasajeros permanecían intocados. Lo que los atacantes se apoderaron fue de algo más fundamental y, resulta, mucho más fácil de tomar: el nombre de dominio en sí — la dirección que le dice a toda la internet dónde vive "Malaysia Airlines".
Este es un caso de Domain Mayday sobre la parte de tu infraestructura en la que probablemente nunca piensas hasta que apunta a otro lugar.
Una aerolínea es su dominio
Para una aerolínea global, el sitio web no es un folleto. Es la caja registradora, el mostrador de facturación y el centro de llamadas, todo ligado a una cadena de texto: malaysiaairlines.com.
Cada reserva, cada inicio de sesión de fidelidad, cada enlace de "gestionar mi vuelo" en cada correo de confirmación se resuelve a través de ese dominio. Cuando un pasajero en Kuala Lumpur o Londres lo escribe, se dispara una cadena invisible: el navegador le pregunta al Sistema de Nombres de Dominio (DNS) "¿dónde vive malaysiaairlines.com?", el DNS responde con una dirección IP, y el navegador se conecta. La marca de la aerolínea, sus ingresos y la confianza de sus clientes dependen de que esa única consulta devuelva la respuesta correcta.
El DNS es la agenda de direcciones de internet. También es, para la mayoría de las organizaciones, la puerta menos vigilada del edificio. Puedes gastar millones reforzando tus servidores, cifrando tus bases de datos y capacitando a tu personal contra el phishing — y nada de eso importa si alguien puede cambiar silenciosamente la línea en la agenda de direcciones que indica a dónde apunta tu nombre. Redirige la dirección y habrás redirigido la empresa, sin entrar nunca al edificio.
Eso es exactamente lo que ocurrió.
El secuestro: un lagarto donde antes había una aerolínea
La desfiguración fue diseñada para causar el máximo daño. La imagen de un lagarto en ropa formal era la tarjeta de presentación de Lizard Squad; el grupo había pasado el diciembre anterior derribando Xbox Live y Sony PlayStation Network durante las vacaciones. Para enero, se había envuelto en la imagen de un "Califato Cibernético", posando como aliado del ISIS incluso mientras los investigadores trataban la afirmación con profundo escepticismo.
El sitio, tal como lo encontraron los visitantes, mostraba la imagen de un lagarto con sombrero de copa y monóculo, junto con el texto "404-Plane Not Found". El relato de Wikipedia sobre el grupo registra la misma escena: los usuarios fueron redirigidos a otra página con la imagen de un lagarto vestido de esmoquin, y la página llevaba el titular "404 - Plane Not Found", una aparente referencia a la pérdida del vuelo MH370 el año anterior.
La crueldad era el mensaje. El MH370 había desaparecido del radar el 8 de marzo de 2014, con las 239 personas a bordo eventualmente presumidas muertas y los restos nunca localizados de manera concluyente. El MH17 había sido derribado por fuerzas respaldadas por Rusia con un misil superficie-aire Buk 9M38 el 17 de julio de 2014, matando a los 298 pasajeros a bordo. Estampar "Avión No Encontrado" en la página de inicio de la aerolínea fue convertir el peor año de la compañía en un arma — y transmitirlo a cada cliente que intentaba acceder al sitio.
Luego llegó la amenaza. El grupo publicó en Twitter que "pronto filtraría el botín encontrado en los servidores de www.malaysiaairlines.com," e incluso publicó una captura de pantalla que afirmaba mostrar itinerarios de pasajeros. Para una aerolínea que ya se ahogaba en un año de catástrofes, la idea de que los datos de los clientes estuvieran sueltos era su propio tipo de desastre.
Cómo ocurrió: la agenda de direcciones, no el edificio
Aquí está el núcleo técnico del asunto, y la razón por la que este caso pertenece a una serie de seguridad de dominios y no a una sobre brechas de servidores.
El propio comunicado de Malaysia Airlines, repetido en toda la cobertura, trazó la distinción con precisión: Malaysia Airlines confirma que su Sistema de Nombres de Dominio (DNS) ha sido comprometido, por lo que los usuarios son redirigidos a un sitio web de hackers cuando se introduce la URL www.malaysiaairlines.com. La aerolínea insistió en que su sitio web no fue hackeado y que este problema temporal no afecta sus reservas y que los datos de los usuarios permanecen seguros, añadiendo que sus servidores web están intactos.
Ambas cosas eran verdad al mismo tiempo: el sitio estaba destruido y los servidores estaban bien. Los atacantes nunca necesitaron los servidores. Como lo expresó The Register, los registros DNS del sitio fueron manipulados de modo que los usuarios eran redirigidos a un sitio controlado por hackers. Cambiaron la entrada en la agenda de direcciones, no el edificio al que apuntaba. Incluso la malicia estaba archivada en los metadatos: una consulta Whois en ese momento mostraba ISIS will prevail como título del sitio.
¿Dónde se guardaba esa agenda de direcciones? En el registrar. El dominio de la aerolínea aparece registrado con Web Commerce Communications Limited — también conocido como Webnic — que tiene oficinas en Singapur, Malasia y China. Ese nombre importa, porque Webnic estaba a punto de hacerse tristemente célebre.
Un mes después, el mismo registrar se encontraba en el centro de un incidente mucho mayor. Como informó Brian Krebs, los atacantes tomaron el control de Webnic.cc, el registrar malayo que gestiona ese dominio y otros 600,000, y luego aprovecharon su acceso en Webnic.cc para alterar los registros del sistema de nombres de dominio (DNS) de Lenovo y Google Vietnam. El mecanismo, según informó Krebs, fue una vulnerabilidad de inyección de comandos en Webnic.cc para cargar un rootkit — acceso persistente al mismo sistema que controla a dónde apuntan cientos de miles de dominios.
No necesitas irrumpir en Google para redirigir google.com.vn. No necesitas irrumpir en una aerolínea para redirigir su página de inicio. Solo tienes que comprometer la capa que posee la respuesta a "¿dónde vive este dominio?" — la cuenta del registrar y los registros DNS detrás de ella. Esa capa se encuentra fuera del perímetro que la mayoría de las empresas realmente defienden.
Impacto y respuesta
Para la aerolínea, el daño fue reputacional y operativo más que un robo de datos. Los clientes que intentaban reservar o hacer el check-in se encontraban con una desfiguración. Los titulares de todo el mundo asociaron las palabras "Malaysia Airlines" con "hackeada" — una marca ya en crisis ahora vinculada a un lagarto burlándose de su avión desaparecido.
La aerolínea actuó para contenerlo de la única manera en que un secuestro DNS puede contenerse: trabajando a través de la capa que había sido subvertida. Dijo que había resuelto el problema con su proveedor de servicios y que el sistema se esperaba que estuviera completamente recuperado en 22 horas. Ese plazo es en sí mismo una señal reveladora del DNS: incluso después de corregir los registros, la respuesta errónea puede persistir en cachés de todo el mundo hasta que expire. Un secuestro es rápido de cometer y lento de deshacer por completo.
Sobre la amenaza de filtración de datos, la aerolínea mantuvo su posición — reservas sin afectación, datos de usuarios seguros — y la catastrófica filtración que el grupo alardeó nunca se materializó como se describió. Pero "no fuimos realmente vulnerados, los atacantes solo controlaron toda nuestra identidad pública durante casi un día" es un mensaje difícil de comunicar al público viajero. Para un cliente mirando "404 — Avión No Encontrado", la distinción entre una brecha de servidor y un secuestro DNS es invisible. El sitio era la aerolínea. Y durante un día, el sitio le pertenecía a otra persona.
Lo que esto enseña sobre el DNS como tu puerta de entrada
El secuestro de Malaysia Airlines es una lección de libro de texto precisamente porque nada fue vulnerado en el sentido convencional. Las conclusiones se generalizan a casi cualquier organización en línea:
-
Tu dominio es un punto único de falla que no controlas solo. El registrar guarda el registro maestro de a dónde apunta tu nombre. Si la seguridad de su cuenta — o su software — falla, tus servidores perfectamente reforzados son irrelevantes. Webnic lo demostró dos veces en un mes, con una aerolínea y luego con Google y Lenovo.
-
Un secuestro DNS no requiere vulnerar tus sistemas. Los atacantes redirigieron la agenda de direcciones, no el edificio. Las defensas que vigilan tus servidores, tu código y tu red pueden pasar por alto un ataque que ocurre completamente en la capa de nomenclatura.
-
Bloquea los registros que pueden mover tu nombre. El Registry Lock y los bloqueos a nivel de registrar existen específicamente para impedir cambios no autorizados en tus registros DNS y de servidores de nombres — añaden un paso manual fuera de banda antes de que nadie pueda redirigir tu dominio. Para un dominio de alto valor, no son opcionales.
-
Activa DNSSEC y la autenticación de dos factores en el registrar. Una autenticación sólida en la cuenta del registrar y la firma DNSSEC en la zona elevan el costo exactamente del silencioso intercambio de registros que desfiguró Malaysia Airlines.
-
La recuperación es más lenta que el ataque. Los TTL y los cachés globales significan que un secuestro sobrevive a su corrección. Planifica para el período de limpieza, no solo para el parche.
El resumen incómodo: la mayoría de las empresas cuidan el edificio y dejan una nota adhesiva en la puerta de entrada que le dice a todos a qué edificio entrar. Cambia la nota y habrás movido la empresa.
El ángulo Namefi
El secuestro de Malaysia Airlines es, en esencia, una pregunta sobre quién tiene permitido cambiar a dónde apunta un nombre — y con qué facilidad esa autoridad puede ser robada silenciosamente en la capa del registrar. El ataque no venció a la criptografía ni descifró una base de datos. Venció al plano de control suave y basado en cuentas que decide el hecho más importante sobre un dominio: a dónde se resuelve.
Namefi está construido sobre la idea de que la propiedad y el control de dominios deben comportarse como un activo verificable nativo de internet, en lugar de una entrada en la base de datos de un registrar que una cuenta comprometida puede reescribir. La propiedad tokenizada hace que la pregunta "¿quién controla este dominio, y acaba de cambiar de manos ese control?" sea auditable y evidentemente a prueba de manipulaciones, manteniendo la compatibilidad con el DNS. La defensa contra un secuestro no son solo contraseñas más fuertes — es hacer que los cambios no autorizados sean visibles y demostrables en lugar de silenciosos.
Malaysia Airlines nunca perdió sus servidores. Perdió la respuesta a una sola pregunta — ¿a dónde apunta este nombre? — durante aproximadamente un día. El avión nunca fue encontrado. El sitio web tampoco debería haberse perdido. La lección de Domain Mayday es que la agenda de direcciones forma parte del perímetro, y el día que lo olvidas es el día que un lagarto con sombrero de copa se muda a tu puerta de entrada.
Fuentes y lecturas adicionales
- TechCrunch — Malaysia Airlines Site Hacked By Lizard Squad
- The Register — Lizard Squad threatens Malaysia Airlines with data dump
- BankInfoSecurity — Malaysia Airlines Website Hacked
- Computerworld — Malaysia Airlines claim DNS hijacked, site not hacked, but attackers threaten data dump
- Infosecurity Magazine — Malaysia Airlines Site Back Up as Hackers Threaten Data Dump
- Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
- Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
- ABC News — Malaysia Airlines Hit by Lizard Squad Hack Attack
- NBC News — Lizard Squad Claims It Hacked Malaysia Airlines Website
- IT Security Guru — Lizard Squad hijacks Malaysia Airline DNS
- Wikipedia — Lizard Squad
- Wikipedia — Malaysia Airlines Flight 370
- Wikipedia — Malaysia Airlines Flight 17
Sobre quienes escriben
Guías relacionadas
- El Minuto de $12: Cuando Alguien Compró Google.com en SilencioEn septiembre de 2015, un exempleado de Google compró google.com a través de Google Domains por $12 y tuvo el control administrativo del dominio más valioso del mundo durante aproximadamente un minuto. La historia de Sanmay Ved, la recompensa de $6,006.13 y lo que un minuto de propiedad revela sobre quién controla realmente un dominio.
- Domain Mayday EP03: El hackeo de cuentas de Bitcoin en Twitter en 2020El 15 de julio de 2020, unos atacantes se introdujeron por teléfono en Twitter, secuestraron las cuentas verificadas de Obama, Biden, Musk, Gates, Apple y Uber, y ejecutaron una estafa de duplicación de Bitcoin que les reportó unos 118.000 dólares. Un análisis en profundidad de cómo se robó el control de una identidad en línea y qué nos enseña sobre ser dueño de un nombre.
- Domain Mayday EP05: El secuestro masivo de dominios DeFi en Squarespace en 2024En julio de 2024, una migración de registrador de Google Domains a Squarespace convirtió una autenticación predeterminada débil en una superficie de ataque masiva. Los atacantes secuestraron los dominios de proyectos cripto y DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — y los redirigieron a sitios de phishing que vaciaban carteras. Así es como una migración "sin fricciones" dejó cientos de puertas sin cerrar, y lo que eso nos enseña sobre la seguridad del registrador y el MFA.
- El ataque al front-end de BadgerDAO: $120M drenados a través de un solo script inyectadoEn diciembre de 2021, atacantes comprometieron la cuenta de Cloudflare de BadgerDAO e inyectaron un script malicioso en el front-end de su sitio web. Los contratos inteligentes auditados nunca fueron tocados — sin embargo, ~$120M salieron por la puerta a través de aprobaciones de billeteras que los usuarios firmaron sin saberlo. Un análisis profundo sobre por qué el sitio web forma parte de tu superficie de seguridad.