Hay que indicar que este tipo de ataques se basa en CDN<\/strong> o redes de distribuci\u00f3n en la nube. Son servicios muy utilizados especialmente por empresas. Esto permite almacenar en cach\u00e9 diferentes elementos para lograr estar geogr\u00e1ficamente m\u00e1s cerca de los clientes potenciales. Esa red de distribuci\u00f3n en la nube va a albergar tambi\u00e9n un certificado web SSL del dominio.<\/p>\n \u00bfC\u00f3mo act\u00faa entonces el pirata inform\u00e1tico? Lo que hace en primer lugar es configurar un servidor en el mismo CDN que esa empresa. Esa empresa cuenta con un certificado SSL que est\u00e1 destinado a ocultar las devoluciones de llamada<\/strong> a la red C2 del atacante.<\/p>\n B\u00e1sicamente lo que hace el pirata inform\u00e1tico en este caso es ocultarse detr\u00e1s de un dominio leg\u00edtimo. Se aprovecha de un equipo que previamente se ha infectado con un malware. Ese equipo est\u00e1 conectado en esa red CDN, donde tambi\u00e9n est\u00e1 el atacante.<\/p>\n El malware realiza una devoluci\u00f3n de la llamada al dominio leg\u00edtimo<\/strong>. Pero esa devoluci\u00f3n no va al dominio propiedad del atacante, sino a uno leg\u00edtimo que est\u00e1 alojado en esa red CDN. De esta forma se configura la sesi\u00f3n TLS entre el malware y el dominio leg\u00edtimo que est\u00e1 en la red.<\/p>\n Lo que buscan es que la resoluci\u00f3n DNS<\/strong> y una nueva llamada simule ser una llamada al dominio leg\u00edtimo y por tanto el navegador va a confiar en ese certificado. El malware vuelve a realizar una llamada pero esta vez al dominio del atacante, que se encuentra en esa misma red CDN. Est\u00e1 oculto a trav\u00e9s de HTTP y con una conexi\u00f3n TLS.<\/p>\n Esta solicitud va a ser enrutada pero al desenvolver el encabezado va a redirigir dicha solicitud al servidor del atacante que se encuentra en la CDN.<\/p>\n Posteriormente hay otro redireccionamiento<\/strong>. Ese ciberdelincuente no quiere que su actividad pueda ser visible en la CDN y hace que haya una segunda redirecci\u00f3n esta vez hacia un servidor de comando y control que se encuentra fuera, en cualquier otro lugar.<\/p>\n Este m\u00e9todo es muy utilizado para evitar la censura<\/strong> y las limitaciones que pueda haber en determinados territorios a lo largo del mundo. Por ejemplo para poder acceder a un dominio web bloqueado o una aplicaci\u00f3n.<\/p>\n El navegador Tor, por ejemplo, puede usar lo que se conoce como Domain fronting para saltarse determinados bloqueos<\/strong> y lograr que la conexi\u00f3n sea an\u00f3nima. Lo mismo otras aplicaciones conocidas y que tienen problemas en determinados pa\u00edses, como por ejemplo Telegram o Signal.<\/p>\n Por tanto, podemos resumen indicando que un cliente lo primero que hace es iniciar una conexi\u00f3n a un dominio leg\u00edtimo (lo que se conocer\u00eda como Domain fronting) mediante HTTP<\/strong>. Posteriormente esa solicitud se recibe y se interpreta como segura en la red. El tercer paso es cifrar esa conexi\u00f3n mediante SSL. De esta forma pueden manipular peticiones HTTP.<\/p>\n Este m\u00e9todo ha sido utilizado al o largo de los a\u00f1os por muchos atacantes y usuarios que han buscado la manera de ocultarse a trav\u00e9s de un dominio leg\u00edtimo.<\/p>\n Siempre que navegamos por la red o hacemos uso de cualquier programa o dispositivo, es imprescindible preservar la seguridad<\/strong>. Debemos contar con todo lo necesario para no ser v\u00edctimas de ning\u00fan tipo de ataque que pueda poner en riesgo nuestra privacidad. Hemos visto un ejemplo claro de c\u00f3mo un posible atacante podr\u00eda aprovecharse de un dominio leg\u00edtimo.<\/p>\n Una de las mejores barreras de seguridad para evitar ataques Domain fronting es hacer uso de un servidor proxy<\/strong>. Va a actuar como intermediario para todas las conexiones que salgan de nuestra red.<\/p>\n Esto va a permitir tambi\u00e9n asegurarnos de que el encabezado del host HTTP va a coincidir con el dominio leg\u00edtimo que se encuentra en la URL. Hay que tener en cuenta que nos podemos encontrar con diferentes opciones en este sentido. Siempre debemos elegir la que mejor se adapte a lo que buscamos, pero asegur\u00e1ndonos de que va a cumplir perfectamente su misi\u00f3n.<\/p>\n Otra cuesti\u00f3n muy importante es mantener todas las actualizaciones<\/strong> disponibles en los servidores que utilicemos, dispositivos y cualquier herramienta que forme parte de nuestro d\u00eda a d\u00eda para navegar por la red. Es esencial tener todos los parches y solucionar cualquier posible problema que pueda aparecer.<\/p>\n Los piratas inform\u00e1ticos podr\u00edan hacer uso de vulnerabilidades que aparecen. Pueden utilizarlas para llevar a cabo sus ataques f\u00e1cilmente y poner en riesgo nuestra seguridad y privacidad. De ah\u00ed que sea imprescindible actualizar todo siempre.<\/p>\n Hemos visto que uno de los or\u00edgenes de un ataque de Domain fronting es mediante un equipo infectado dentro de la red CDN. Por tanto, es esencial para evitar cualquier tipo de problema como este proteger los dispositivos<\/strong> correctamente.<\/p>\n Para ello algo fundamental va a ser contar con programas de seguridad. Es esencial un buen antivirus que pueda detectar malware y cualquier tipo de ataque similar. Tambi\u00e9n un buen firewall que pueda interceptar conexiones fraudulentas en la red. Tenemos a nuestra disposici\u00f3n un amplio abanico de opciones. Muchos tipos de software que de una u otra forma puede ayudarnos.<\/p>\n En definitiva, los ataques de Domain fronting podr\u00edan comprometer la seguridad y redireccionar sitios web leg\u00edtimos. Es importante siempre estar protegidos, contar con todo tipo de programas que puedan ayudarnos a evitar a los piratas inform\u00e1ticos y que podr\u00edan en un momento dado servir como puerta de entrada.<\/p>\n","protected":false},"excerpt":{"rendered":" Ataques Domain fronting Podemos decir que Domain fronting es como se conoce a una t\u00e9cnica maliciosa en la que un atacante puede hacer uso de un dominio leg\u00edtimo, de alta reputaci\u00f3n, para enmascarar y redirigir conexiones a servidores. Hay que indicar que este tipo de ataques se basa en CDN o redes de distribuci\u00f3n en […]<\/p>\n","protected":false},"author":1,"featured_media":7632,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/7631"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=7631"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/7631\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/7632"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=7631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=7631"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=7631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Domain](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/06\/domain-fronting-que-es-esta-amenaza-que-pone-en-riesgo-un-dominio.jpg\")
<\/p>\nMuy usado para evitar la censura<\/h3>\n
C\u00f3mo evitar ataques Domain fronting<\/h2>\n
Usar un servidor proxy<\/h3>\n
![\"Proxy](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/06\/domain-fronting-que-es-esta-amenaza-que-pone-en-riesgo-un-dominio-1.jpg\")
<\/p>\nActualizaciones y corregir vulnerabilidades<\/h3>\n
Programas de seguridad<\/h3>\n