El auge del abuso de dominios de Cloudflare: un reto creciente para la ciberseguridad

En los últimos meses, los dominios de Cloudflare, como pages.dev y workers.dev, han sido cada vez más explotados por ciberdelincuentes para realizar actividades maliciosas como phishing, ataques DDoS y el robo de datos sensibles. Según un informe reciente de la firma de ciberseguridad Fortra, el uso indebido de estos servicios ha crecido entre un 100% y un 250% en comparación con 2023, lo que resalta un desafío crítico para la ciberseguridad global.

Cloudflare Pages: una plataforma con doble filo

Cloudflare Pages es una herramienta diseñada para que desarrolladores creen y desplieguen sitios web rápidos y escalables. Ofrece ventajas como el alojamiento gratuito, la implementación sencilla y la encriptación SSL/TLS automática, características que no solo atraen a usuarios legítimos, sino también a actores maliciosos.

Fortra ha identificado que los ciberdelincuentes están utilizando esta plataforma para hospedar páginas intermedias de phishing. Estas páginas suelen redirigir a los usuarios hacia sitios falsos, como páginas de inicio de sesión de Microsoft Office365, con el objetivo de robar credenciales. Los enlaces a estas páginas suelen incluirse en correos electrónicos fraudulentos o documentos PDF falsos que logran evadir los sistemas de seguridad gracias a la reputación confiable de Cloudflare.

Según el informe, los ataques de phishing en Cloudflare Pages han aumentado un 198%, pasando de 460 incidentes en 2023 a 1.370 hasta octubre de 2024. Se espera que los ataques superen los 1.600 incidentes al cierre del año, lo que representa un incremento proyectado del 257% respecto al año anterior.

Cloudflare Workers: herramienta legítima, pero vulnerable

Cloudflare Workers, una plataforma de computación sin servidor que permite a los desarrolladores ejecutar aplicaciones ligeras y scripts, también ha sido objeto de abuso. Los ciberdelincuentes han utilizado esta herramienta para una variedad de ataques, como:

  • Phishing avanzado: Hosting de páginas de verificación humana que aumentan la credibilidad de los ataques de phishing.
  • Ataques DDoS: Generación de tráfico masivo para saturar servidores objetivo.
  • Exfiltración de datos: Robo de información sensible a través de scripts maliciosos.
  • Intentos de fuerza bruta: Automatización de ataques para descifrar contraseñas.

Fortra reporta un incremento del 104% en ataques de phishing utilizando Cloudflare Workers, con 4.999 incidentes en lo que va del año, frente a 2.447 en 2023. Se espera que el número alcance los 6.000 ataques para finales de 2024, un crecimiento del 145% interanual.

Por qué los ciberdelincuentes prefieren Cloudflare

La infraestructura global de Cloudflare, junto con su fiabilidad y su bajo coste, lo convierte en una opción atractiva para los atacantes. Además, su capacidad para proporcionar dominios personalizados y conexiones HTTPS automáticas añade una capa de legitimidad a las páginas maliciosas, haciendo que las víctimas confíen más fácilmente en los sitios.

Los atacantes también aprovechan tácticas como el bccfoldering, que oculta los destinatarios en correos electrónicos de phishing, dificultando a los sistemas de seguridad detectar la magnitud de las campañas maliciosas.

Medidas de mitigación y mejores prácticas

A pesar de los esfuerzos de Cloudflare para combatir el abuso, como la detección de amenazas y mecanismos de reporte, los ciberdelincuentes aún logran explotar estas plataformas antes de que el contenido malicioso sea identificado y eliminado.

Fortra recomienda a los usuarios seguir estas medidas de seguridad:

  • Verificar URLs: Asegurarse de que los dominios coincidan con la fuente esperada.
  • Habilitar autenticación en dos pasos (2FA): Agregar una capa adicional de protección a las cuentas.
  • Reportar actividades sospechosas: Informar intentos de phishing o sitios maliciosos directamente a Cloudflare.
  • Implementar medidas de seguridad en desarrollos: Actualizar regularmente las dependencias de los sitios y monitorizar actividad inusual.

Un problema que requiere acción conjunta

El abuso de plataformas confiables como Cloudflare Pages y Workers pone de manifiesto la necesidad de una mayor colaboración entre proveedores de servicios y expertos en ciberseguridad. Mientras estas herramientas seguirán siendo fundamentales para el desarrollo tecnológico, protegerlas de los ciberdelincuentes será crucial para garantizar un entorno digital más seguro.

Scroll al inicio