Relato del incidente del 7 julio 2017

07.07.2017 - written by  in Nombre de dominio

El viernes 7 de julio a las 13:00 horas CEST, ocurrió un incidente que se produjo tras una conexión no autorizada en un colaborador técnico que nos permite gestionar varias extensiones geográficas por su intermediario.

En conjunto, se registraron un total de 751 nombres de dominio afectados por parte de este incidente que implicó una modificación no autorizada de los servidores de nombre [NS] asignados a los dominios afectados que luego canalizaron el traficoté a un sitio web malicioso que explota los fallos de seguridad de varios navegadores.

Tomamos medidas correctivas entre las 14:50 (CEST) y las 15:30 (CEST) sobre la totalidad de los nombres de dominio que fueron impactados, permitiendo así el regreso a la normalidad de la mayoría de los dominios.

Puesto que estas medidas correctivas también obligaron una actualización por parte del registro, algunos nombres de dominio se vieron afectados por mas tiempo que el plazo entre el inicio del incidente a las 11:00 UTC y el tiempo de ejecución de nuestro remedio a las 13:30 UTC. Éste es el caso en particular de los nombres de domino en .ES. A partir de las 18:02 UTC (11:02 AM PDT), todas las operaciones de corrección del problema ya se habían finalizado completamente por parte de los diversos registros implicados.

En cuato tuvimos conocimiento del incidente, nuestros equipos técnicos y nuestro proveedor comenzaron a colaborar para resolver el problema y para identificar el origen de las modificaciones fraudulentas.

A la vez, nuestros equipos técnicos están trabajando para garantizar que ninguna infrastructura de Gandi se ha visto comprometida. Todos los análisis hasta ahora nos demuestran que eso no fue el caso. También estamos investigando posibles vulnerabilidades de seguridad relacionadas con las conexiones con nuestro porveedor.

Switch, el registro del .CH, también fué advertido y está investigando el incidente, que permitió que los dominios difundieran software malicioso.

Podrá encontrar el análisis (en ingles) del incidente de la parte de Switch en su blog.

También le recomendamos fuertemente que informe a sus clientes de esta situación para que ellos puedan tomar cualquieras medidas que estimen necesarias para proteger sus datos y aparatos.

Estamos conscientes de las repercusiones negativas de esta situación en sus actividades en línea. Tan pronto cómo el ataque llegó a nuestro conocimiento tomamos todas las medidas a nuestra disposición para limitar su impacto y asegurar, respaldar y restaurar sus dominios lo antes posible. Le ofrecemos nuestra sincera disculpa por las molestias que haya podido ocasionarle este incidente.

 


Lista detallada de las extensiones afectadas :
.ES, .SE, .UA, .CAT, .IT, .HK, .ASIA, .AU, .NL, .DE, .CX, .PT, .RU, .CM, .DK, .PH, .MG, .LU, .JP, .AT, .GY, .CZ, .GR, .RO, .HT, .NZ, .SH, .AM, .NO, .PL, .SI