Domain Apocalypse

Un recorrido práctico por las cinco formas en que los atacantes realmente se apoderan de los dominios en el mundo real (ingeniería social, compromiso de la cuenta del registrador, toma de control del proveedor de DNS, secuestros de NS y recuperación de dominios expirados) y los controles específicos que bloquean a cada una.

Una perspectiva desde las operaciones de registro/DNS sobre el incidente de AWS del 20 de octubre de 2025, cómo funciona realmente el DNS, por qué este fallo se propagó tanto y qué pueden hacer al respecto los equipos de internet resilientes.

Qué sucede realmente si pierdes el acceso a la billetera que contiene tu dominio tokenizado, y los pasos operativos para reducir la probabilidad de llegar a esa situación en primer lugar. Copias de seguridad, multifirma, billeteras de hardware, recuperación social y los límites de lo que cualquier plataforma puede hacer.

En septiembre de 2015, un exempleado de Google compró google.com a través de Google Domains por $12 y tuvo el control administrativo del dominio más valioso del mundo durante aproximadamente un minuto. La historia de Sanmay Ved, la recompensa de $6,006.13 y lo que un minuto de propiedad revela sobre quién controla realmente un dominio.

El 15 de julio de 2020, unos atacantes se introdujeron por teléfono en Twitter, secuestraron las cuentas verificadas de Obama, Biden, Musk, Gates, Apple y Uber, y ejecutaron una estafa de duplicación de Bitcoin que les reportó unos 118.000 dólares. Un análisis en profundidad de cómo se robó el control de una identidad en línea y qué nos enseña sobre ser dueño de un nombre.

En julio de 2024, una migración de registrador de Google Domains a Squarespace convirtió una autenticación predeterminada débil en una superficie de ataque masiva. Los atacantes secuestraron los dominios de proyectos cripto y DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — y los redirigieron a sitios de phishing que vaciaban carteras. Así es como una migración "sin fricciones" dejó cientos de puertas sin cerrar, y lo que eso nos enseña sobre la seguridad del registrador y el MFA.

En diciembre de 2021, atacantes comprometieron la cuenta de Cloudflare de BadgerDAO e inyectaron un script malicioso en el front-end de su sitio web. Los contratos inteligentes auditados nunca fueron tocados — sin embargo, ~$120M salieron por la puerta a través de aprobaciones de billeteras que los usuarios firmaron sin saberlo. Un análisis profundo sobre por qué el sitio web forma parte de tu superficie de seguridad.

En septiembre de 2021, Bitcoin.org —el histórico sitio informativo de Bitcoin operado por el seudónimo Cobra— fue secuestrado a nivel DNS y convertido en un falso sorteo de "duplica tu Bitcoin", con el que los estafadores obtuvieron alrededor de $17,000 antes de que el sitio fuera dado de baja. Un análisis en profundidad de Domain Mayday sobre qué ocurrió, cómo sucedió y qué nos enseña sobre la dependencia del DNS incluso en sitios nativos de cripto.

En agosto de 2022, los contratos inteligentes de Curve Finance estaban intactos — pero los atacantes secuestraron el dominio curve.fi en su registrador, clonaron el sitio y drenaron aproximadamente $570K de los usuarios. Un análisis profundo del ataque DNS a una interfaz DeFi, y lo que enseña sobre seguridad de dominios.

A finales de 2018, Cisco Talos reveló DNSpionage — una campaña vinculada a intereses iraníes que reescribió registros DNS gubernamentales, redirigió el tráfico de correo electrónico y VPN hacia servidores atacantes, y obtuvo certificados TLS válidos para permanecer invisible. Contribuyó a desencadenar la primera directiva de emergencia de este tipo emitida por el gobierno de EE. UU.

El 21 de octubre de 2016, un ataque DDoS impulsado por la botnet IoT Mirai golpeó al proveedor de DNS Dyn en tres oleadas, dejando fuera de línea durante horas a Twitter, Netflix, Reddit, Spotify, GitHub, Airbnb y PayPal — un caso de estudio sobre la concentración de proveedores DNS.

En septiembre de 2017, atacantes iniciaron sesión en el registrador de dominios externo de la firma de seguridad holandesa Fox-IT, modificaron su DNS, obtuvieron fraudulentamente un certificado TLS y ejecutaron un ataque de intermediario de 10 horas sobre el tráfico de clientes — hasta que Fox-IT lo detectó y publicó uno de los análisis post-mortem más transparentes de la industria.

Entre 2020 y 2022, un único grupo de actores maliciosos habitó dentro de la infraestructura de GoDaddy — robando código fuente, exponiendo a 1,2 millones de clientes de Managed WordPress y redirigiendo intermitentemente sitios web de clientes a destinos maliciosos. Un análisis profundo sobre el riesgo de concentración en registradores y lo que enseña acerca de los puntos únicos de falla.

A finales de 2014, ICANN —el organismo que coordina el sistema de nombres de dominio de Internet— admitió que un correo electrónico de spear-phishing que suplantaba su propio dominio había cosechado las credenciales del personal y otorgado a los atacantes acceso administrativo al Sistema Centralizado de Datos de Zona. Un análisis en profundidad de Domain Mayday sobre cómo la propia autoridad del DNS fue víctima de phishing, qué quedó expuesto y por qué sigue siendo relevante.

El 25 de febrero de 2015, Lizard Squad secuestró Lenovo.com comprometiendo al registrador Webnic, redirigiendo el dominio del mayor fabricante de PC del mundo hacia una presentación de diapositivas de webcam e interceptando su correo electrónico, días después del escándalo de Superfish. Un análisis en profundidad de Domain Mayday sobre por qué el registrador es tu verdadero perímetro de seguridad.

En enero de 2015, Lizard Squad secuestró el DNS de malaysiaairlines.com y reemplazó el sitio de la aerolínea con un lagarto vestido de esmoquin y la burla "404 — Avión No Encontrado". Ningún servidor fue vulnerado — los atacantes simplemente cambiaron a dónde apuntaba el dominio. Un análisis en profundidad de Domain Mayday sobre cómo el DNS se convirtió en la puerta de entrada más expuesta de la aerolínea.

El 24 de abril de 2018, unos atacantes secuestraron el enrutamiento de internet de Amazon Route 53, envenenaron las respuestas DNS de myetherwallet.com y sirvieron un clon de phishing con un certificado autofirmado, drenando aproximadamente $150,000 en Ethereum. Un análisis en profundidad de por qué el DNS depende de una capa de enrutamiento que confía por defecto.

En enero de 2005, panix.com — el dominio del proveedor de internet comercial más antiguo de Nueva York — fue transferido de forma fraudulenta a un registrador en Australia mediante tarjetas de crédito robadas, dejando el sitio web y el correo electrónico fuera de servicio durante días. Las reglas de transferencia entre registradores con aprobación automática de la época lo hicieron posible, y la resolución del caso reformó la política de transferencia de dominios.

A finales de enero de 2021, perl.com — hogar desde hace décadas de la comunidad de programación Perl — fue robado mediante un compromiso de cuenta a nivel de registrador, transferido a través de China, apuntado a una IP vinculada a malware y puesto a la venta por 190.000 dólares. Así fue como ocurrió, cómo se recuperó y qué enseña sobre la seguridad de las cuentas de registrador.

Cómo "Sea Turtle", una campaña patrocinada por un Estado revelada por Cisco Talos en 2019, secuestró el DNS al comprometer registradores, registros y proveedores de DNS — redirigiendo a gobiernos, ministerios y empresas energéticas hacia servidores de los atacantes, falsificando certificados válidos e incluso vulnerando un registro nacional de TLD.

En 1995, un estafador llamado Stephen Cohen le robó sex.com a su legítimo propietario Gary Kremen con una sola carta falsificada enviada a Network Solutions. La lucha de años para recuperarlo terminó en una sentencia de $65 millones, un fugitivo en México y un fallo histórico que estableció que los dominios son propiedad.

En septiembre de 2021, un contratista anónimo introdujo su propia dirección de billetera en el front-end de la plataforma de lanzamiento MISO de SushiSwap mediante un commit malicioso, desviando 864,8 ETH (~$3M) de la subasta Jay Pegs Auto Mart. Un análisis en profundidad de Domain Mayday sobre cadenas de suministro de código, confianza en el front-end y lo que enseña sobre la propiedad verificable.

El 27 de agosto de 2013, el Ejército Electrónico Sirio realizó un ataque de phishing a un revendedor de Melbourne IT, reescribió los registros DNS de nytimes.com y los dominios de Twitter, y dejó al New York Times fuera de línea durante horas. Un análisis profundo de cómo el eslabón débil de la cadena de registradores se convirtió en el punto de falla de un periódico — y qué habrían cambiado los bloqueos de registro.