Un grupo de estafadores ha aprovechado el deficiente mantenimiento de registros en universidades de prestigio para secuestrar cientos de subdominios, utilizándolos para difundir pornografía explícita y estafas maliciosas. El investigador Alex Shakhov identificó al menos 34 instituciones afectadas, entre ellas UC Berkeley, la Universidad de Columbia y la Universidad de Washington en San Luis. Las vulnerabilidades se originan a partir de registros DNS CNAME que no fueron eliminados tras la retirada de los subdominios.
Alex Shakhov, fundador de SH Consulting, descubrió recientemente que diversos estafadores, vinculados por otro investigador al grupo Hazy Hawk, se han apoderado de subdominios en sitios web oficiales de universidades. Algunos ejemplos incluyen causal.stat.berkeley.edu, que albergaba videos pornográficos; conversion-dev.svc.cul.columbia.edu, que redirigía a contenido explícito de gimnasios; y provost.washu.edu, que ofrecía un PDF fraudulento que afirmaba falsamente que los ordenadores estaban infectados. Los resultados de búsqueda de Google muestran miles de estas páginas secuestradas, las cuales aparecen en los primeros lugares debido a la reputación de las universidades. Las búsquedas en Google como site:berkeley.edu “xxx” revelan decenas de estos resultados, aunque algunos han sido eliminados recientemente. Shakhov explicó la causa raíz: las organizaciones crean registros DNS CNAME para sus subdominios, pero olvidan borrarlos cuando dejan de estar en uso. “La causa principal es sencilla: las organizaciones crean registros DNS y nunca los limpian. No hay fecha de caducidad para un registro CNAME. Nadie recibe una alerta cuando el destino deja de responder. Y la mayoría de los departamentos de TI de las universidades no mantienen un inventario completo de sus subdominios ni de hacia dónde apuntan”, escribió Shakhov. La estructura descentralizada de las universidades agrava el problema, ya que los departamentos y laboratorios crean subdominios de forma independiente sin procesos adecuados de desactivación. Shakhov recomienda que las organizaciones realicen un inventario de todos sus subdominios, auditen los registros huérfanos y eliminen los CNAME inactivos. Solo unas pocas universidades afectadas han tomado medidas, y algunas todavía muestran páginas indexadas en los resultados de búsqueda a pesar de las correcciones. Las consultas enviadas a UC Berkeley, la Universidad de Columbia y la Universidad de Washington no recibieron respuesta.