¿Qué hacer cuando un dominio está siendo usado para phishing o distribución de malware?
Por Hernán Espinoza Medina, Analista Senior de CiberseguridadUno de los problemas que frecuentemente enfrentamos es la creación de dominios similares a un dominio nuestro. A esto le llamamos ciberocupación maliciosa, o en inglés, domain squatting o typosquatting.
Según el nivel de afectación, es posible tomar acciones para disminuir la posibilidad de que el evento escale hasta el delito o fraude a empresas, instituciones o personas.
▶ Si el dominio termina en .cl:
- Si el dominio termina en ".cl", podemos recurrir a NIC Chile. Lo primero es enviar un email a [email protected], indicando el dominio suplantado, los datos de contacto de la persona responsable, y la evidencia de la que se disponga.
- También recomendamos informar la situación al CSIRT mediante el formulario de reporte, o un email enviado a [email protected]. El CSIRT evaluado la gravedad de los hechos descritos puede apoyar las acciones e intentar aportar acciones tendientes a la baja o suspención del dominio.
El reglamento de NIC Chile faculta a NIC a suspender un dominio que esté siendo usado para acciones maliciosas o delictivas. En el reglamento se indica lo siguiente (numeral 6, literal d):
d) Declara que, a su leal saber y entender, el registro del nombre de dominio se realiza con fines lícitos, de buena fe y que no infringe ni viola de ninguna manera cualquier derecho de un tercero. Autoriza a NIC Chile para suspender temporal o definitivamente la operación del o los nombres de dominio que hubiera inscrito en caso de constatarse que dicha inscripción se hizo con la finalidad de realizar phishing, distribuir malware, operar botnets o a juicio de NIC Chile constituya alguna otra práctica que sea considerada como abuso técnico del DNS;
▶ Si el dominio no termina .cl:
Si el dominio no termina en ".cl", las acciones deben realizarse ante el registrador pertinente, que no es NIC Chile. Por ejemplo si el dominio está bajo ".com", el camino es denunciar la situación con el “registrador” de dominios específico para el TLD “.com”.
▶ Otras acciones:
- Dependiendo de la gravedad de la afectación, sugerimos denunciar la situación ante el proveedor de hosting que aloja el contenido potencialmente malicioso.
- Adicionalmente se puede denunciar ante la ICANN en el siguiente formulario web: https://www.icann.org/es/compliance/complaint
- Finalmente, se puede estudiar presentar una demanda en contra de quienes resulten responsables, de acuerdo con la Ley N° 21.459, en el caso de que tu institución haya sido sido afectada o perjudicada de alguna manera.
◉ En resumen:
- Realiza una búsqueda con WHOIS para identificar el registrador y el proveedor de hosting.
- Reporta el abuso al registrador del dominio a través de su página de reporte de abusos. En el caso de NIC Chile, se realiza enviando un email a [email protected].
- Contacta al proveedor de hosting para denunciar el abuso y pedir que tomen acciones.
- Informa al CSIRT a través del formulario o al email [email protected].
- Reporta a ICANN si el registrador no toma medidas adecuadas.
- Si existe un delito, denuncia el caso a la Policía de Investigaciones o Carabineros de Chile.