La vida de dominios despues de la muerte

8 Nov, 2019  - Escrito por  en Nombre de dominio

Los dominios tienen un ciclo de vida. Se crean, se utilizan durante un tiempo y caducan. Pero para muchos dominios, la vida no termina ahí. Los nombres de dominio pueden ser revividos, resucitados y reorientados después de vivir una vida plena y el ciclo de vida se repite. A veces el propietario no tiene ningún uso para un dominio y lo deja expirar. Pero muchas veces cuando los dominios caducan no es intencional, y el propietario simplemente no cumplió con el plazo de renovación.

Incluso cuando no se vuelven a registrar, la memoria de un nombre de dominio muerto puede perdurar. Durante su vida útil, los dominios adquieren una reputación, se utilizan para alojar servicios y, a veces, para confirmar identidad. Después de su vencimiento, estos servicios ya no pueden estar activos, pero los enlaces, las memorias y las referencias no se borran.

Estas cáscaras ahuecadas pueden ser cosechadas y reanimadas por cualquier persona dispuesta y capaz de pagar el precio del registro. Estos carroñeros se aprovechan entonces del tráfico al que todavía se dirige o de la reputación que todavía se le da al dominio desde su vida pasada, a menudo sólo para monetizar ese tráfico, a veces para aprovecharse de antiguos propietarios de dominio desesperados y, en raras ocasiones, para desviar el tráfico o subvertir la reputación del dominio en actividades menos éticas e incluso ilegales.

Esta es nuestra guía para el más allá de un nombre de dominio.

¿Qué sucede cuando un dominio expira?

La primera etapa en el fin de vida de un dominio es la expiración. Los dominios se registran en incrementos anuales, y una vez que el registro ha finalizado, el dominio expira.

ICANN, la organización sin fines de lucro encargada de administrar la internet, incluido el nivel superior del sistema de nombres de dominio, lleva mucho tiempo tomando medidas para evitar que los dominios expiren y se vuelvan a registrar en contra de los deseos de sus propietarios.

Los registradores están obligados a notificar a los propietarios de dominio dos meses, un mes y quince días antes de la fecha de expiración de un nombre de dominio y luego una vez más un día después de la expiración del nombre de dominio.

Hay otras maneras de saber si un dominio está expirando pronto, por supuesto, como la cuenta de usuario del registrador de dominios, que generalmente hace que esta información sea notable.

Como parte del proceso que ICANN requiere para la expiración de un nombre de dominio, lo primero que hace un nombre de dominio cuando expira es permanecer justo donde está. El registrador lo pone en estado de «espera» durante 45 días. Con un dominio en «hold», el propietario permanece igual pero el DNS deja de resolverse. Es decir, el dominio solo deja de funcionar.

En este punto, el propietario todavía puede revivir su nombre de dominio. Todo lo que se necesita es que renueven su dominio con su registrador. Al final de los 45 días, el nombre de dominio se elimina de la base de datos del registrador y pasa al «período de gracia de redención», que es de 30 días adicionales en los que el dominio permanece en la base de datos del registrador. Durante este «período de gracia de redención», los propietarios de dominios pueden restaurar sus dominios por una tarifa superior a la de una renovación normal.

A pesar de esta amplia oportunidad para los propietarios de traer sus dominios de vuelta de la muerte, a veces los dominios todavía se «caen», lo que significa que expiran para siempre y regresan a la reserva de nombres de dominio disponibles, no registrados.

¿Por qué expiran los dominios y se eliminan?

La mayoría de las veces, cuando un dominio expira, es porque el propietario del dominio quería que expire. Cuando los propietarios de dominio legítimamente no quieren más sus dominios, los dejan expirar, no los renuevan ni los restauran, y los dejan pasar a la disponibilidad general.

Pero los dominios aún caducan e incluso pueden ser eliminados inadvertidamente. Si un dominio no tiene activada la renovación automática, cuando el propietario de un dominio no recibe una notificación de renovación, el dominio puede expirar sin que se dé cuenta. Eso puede suceder por un par de razones.

En primer lugar, la información de contacto inexacta o inválida de un dominio puede significar que las notificaciones sobre la expiración de un nombre de dominio se envían a una dirección de correo electrónico incorrecta o incluso a una dirección de correo electrónico inexistente. Por eso es importante que los propietarios de dominios se aseguren de utilizar una dirección de correo electrónico en la que puedan ser localizados para registrar sus nombres de dominio.

Del mismo modo, dado que después de que los nombres de dominio expiran dejan de funcionar, si un nombre de dominio está «escondido», lo que significa que tiene una dirección de correo electrónico de contacto que es @ el nombre de dominio en cuestión, es posible que no se entregue la advertencia final de que el dominio ha expirado.

Incluso si el propietario de un dominio no recibe o pierde las notificaciones de renovación, por lo general se da cuenta de que su dominio ha caducado porque su sitio web o correo electrónico u otro servicio deja de funcionar.

La razón principal por la que los dominios son dejados caer inadvertidamente por los propietarios de los dominios después de su expiración es la simple negligencia.

Perder las notificaciones y no darse cuenta en un período de 75 días de que un nombre de dominio -incluyendo cualquier sitio web, correo electrónico u otros servicios asociados con él- no está funcionando es difícil si el dominio se está utilizando regularmente, aunque puede ocurrir y de hecho ocurre.

Es un poco más fácil perderse, por supuesto, cuando los dominios no están siendo usados activamente por su dueño, ya sea que los estén reteniendo para venderlos más tarde, o simplemente no hayan llegado a usarlos para el proyecto para el que los registraron.

Lo que deja un dominio muerto

A veces es difícil apreciar las innumerables formas en que la sombra de un nombre de dominio se extiende a través de la red hasta que el dominio en sí mismo desaparece y sólo queda la sombra.

Cuando un nombre de dominio muere, lo sobrevive no sólo su antiguo propietario, sino también los enlaces y los marcadores del navegador, los sitios web y las cuentas de correo electrónico, el software y los filtros de spam. Estos, a su vez, envían tráfico a dominios muertos que, a pesar de que nunca devuelven señales de vida, pueden persistir durante bastante tiempo.

1. Sitios web

Obviamente, los dominios sobreviven como las direcciones registradas de los sitios web.

En cualquier lugar al que se enlace un sitio web, el nombre de dominio asociado forma parte de ese enlace. Esto incluye perfiles y mensajes en los medios sociales, blogs, correos electrónicos o incluso tarjetas de visita y carteles publicitarios. Un dominio también puede ser guardado en los favoritos del navegador o puede ser particularmente memorable y recordado en las cabezas de los usuarios de Internet.

Cuantos más enlaces existan, más tráfico web seguirá dirigiéndose a ese sitio incluso después de que el dominio muera. Mientras el dominio no exista, la mayoría de las personas que intentan ir al dominio no verán nada, sólo un mensaje de error diciendo que su dominio no existe.

Los terceros a menudo capturan -y monetizan- este tráfico por sí mismos registrando un nombre de dominio previamente expirado.

2. Correo electrónico

Sin embargo, los nombres de dominio no sólo se utilizan para alojar sitios web. También se utilizan para alojar correo electrónico. Y otra forma en la que un dominio sigue vivo incluso después de que expire es en las direcciones de correo electrónico @ ese dominio.

Estas direcciones de correo electrónico pueden no pertenecer al propietario del nombre de dominio o a su administrador técnico, por lo que puede resultar sorprendente que la dirección de correo electrónico de un empleado, amigo o cliente deje de funcionar de repente debido a que el dominio ha expirado.

Pero las direcciones de correo electrónico no sólo viven en la memoria de sus propietarios. Los servicios en línea utilizan con frecuencia direcciones de correo electrónico para registrar a los usuarios.

Una noche de mayo de 2003, un importante contratista de defensa estadounidense perdió el control de un bloque de las direcciones IP que poseía para su uso en la red. Había sido secuestrado y se estaba utilizando para enviar correo electrónico no deseado y obtuvo las direcciones IP que figuraban en las listas negras de SpamHaus y SPEWS.

Cuando los atacantes hicieron un movimiento similar en 2018 para secuestrar un sitio web de criptocurrency, tuvieron que obtener acceso a routers BGP en los principales ISPs. En el caso de este gran contratista de defensa, los spammers obtuvieron ese acceso a través de la puerta principal, por así decirlo.

Los bloques de direcciones IP se registran utilizando direcciones de correo electrónico, y probar el acceso a la dirección de correo electrónico utilizada para registrar un bloque de direcciones IP fue suficiente para que los ISPs cambiaran la ruta BGP en ellos.

Consiguieron acceso a esta dirección de correo electrónico simplemente registrando el nombre de dominio al que se adjuntó la dirección de correo electrónico cuando expiró. A pesar de ser un importante contratista de defensa, la empresa tardó dos meses en recuperar su bloque de direcciones IP.

Algo similar le sucedió a un proveedor de servicios de Internet ruso. La crisis financiera de 2008 había llevado a su empresa al borde de la bancarrota y en los años intermedios su dominio había expirado. Luego, en 2011, un nuevo inversor salvó a la empresa del borde del abismo sólo para que los representantes de la empresa descubrieran que toda la red del ISP había sido secuestrada.

Resultó que sólo seis horas después de que expirara el registro, alguien había vuelto a registrar su nombre de dominio y lo había utilizado para obtener el control total de su red enviando un correo electrónico a otro ISP desde la dirección de correo electrónico en la que estaba registrado el bloque IP. Una vez que el problema fue notado, el ISP tardó tres meses en recuperarse completamente.

Sin embargo, las direcciones de correo electrónico se utilizan para algo más que para registrar bloques de direcciones IP.

Perfiles de medios sociales como Facebook y Twitter están vinculados a direcciones de correo electrónico, al igual que algunas instituciones financieras. Aparte de las cuentas personales, las direcciones de correo electrónico se pueden vincular a cuentas que administran activos en línea (como por ejemplo otros nombres de dominio no expirados).

Cuando una persona o un servicio en línea (a veces automáticamente) intenta enviar un correo electrónico a un nombre de dominio alojado en él y el dominio ya no existe, el correo electrónico rebotará.

Como resultado, cuando un nombre de dominio expira, también se vuelve atractivo para el correo electrónico que potencialmente se le envía. Una dirección de correo electrónico global configurada en un dominio caducado registrado de nuevo puede capturar cualquier correo electrónico, y podría dar acceso a perfiles de medios sociales, cuentas bancarias, nombres de dominio y bloques de direcciones IP.

3. DNS

Los sitios web y el correo electrónico no son los únicos servicios que se pueden alojar en un nombre de dominio. Los nombres de dominio pueden ser utilizados para alojar servidores de nombres de dominio. Un nombre de dominio que expira y que se utiliza para servidores de nombres de dominio podría afectar a otro nombre de dominio simplemente usando ese dominio para sus servidores DNS.

En 2012, una universidad católica privada de primer nivel en el Medio Oeste estaba usando su propio dominio para alojar servidores de nombres DNS primarios, mientras que sus servidores de nombres secundarios estaban alojados en un dominio.com fuera de su control. Los servidores de nombres DNS se utilizan para conectar un nombre de dominio a un servicio, específicamente un sitio web o correo electrónico @ ese dominio.

A finales del otoño de ese año, sin embargo, algo extraño comenzó a suceder cuando la gente estaba tratando de llegar al sitio web de la universidad: los visitantes del sitio web eran enviados intermitentemente a un sitio web puramente publicitario que no tenía nada que ver con su universidad. La mayoría de las veces, sin embargo, la página web de la universidad se cargó como de costumbre.

Resulta que el nombre de dominio .com utilizado como servidor de nombres secundario en el dominio había expirado. Sin embargo, el servidor de nombres primario aún funcionaba bien, y como el dominio .com había pasado por el período de gracia de renovación tardía, y el período de gracia de redención, no se notaron cambios, el DNS es lo suficientemente robusto como para mitigar los efectos de las interrupciones temporales.

No fue sino hasta que una empresa de SEO volvió a registrar el dominio .com como un dominio de re-lectura que puso un registro comodín en el archivo de zona del dominio .com y terminó redirigiendo una parte del tráfico de toda la infraestructura de la universidad -potencialmente incluyendo los inicios de sesión de los estudiantes, el correo electrónico y otros datos legalmente sensibles- a sus propios servidores que alguien comenzó a tomar nota.

Si un dominio expira y se utiliza para alojar servidores de nombres DNS, y alguien más lo registra, puede empezar a servir datos de zona arbitrarios para otros dominios que dependen de esos servidores de nombres. Si los dominios afectados no utilizan DNSSEC, el tráfico a los servicios en estos podría ser desviado.

Más recientemente, en 2016, Matt Bryant, un investigador de seguridad, que también nos informó de un par de vulnerabilidades no relacionadas, pudo encontrar un nombre de dominio .int poco común -normalmente reservado para organizaciones de tratados internacionales- con servidores de nombre asignados a un nombre de dominio .be expirado. El registro de nombres de dominio .be le dio al investigador el control sobre el dominio.

Escribió un script llamado TrustTrees que produce gráficos de confianza de DNS y puede verificar si los nombres de dominio utilizados para los servidores de nombres de registros completos están disponibles para su registro.

En 2018, este script le alertó de que cuatro de los siete dominios utilizados para los servidores de nombres autorizados de todo el TLD (dominio de primer nivel) .io habían expirado y estaban disponibles para su registro. Para su sorpresa, pudo volver a registrar los dominios de servidor de nombres vencidos, lo que le habría permitido tomar el control de todo el TLD .io (rápidamente informó del problema al registro y los registros de dominios fueron revocados por su socio registrador).

4. Certificados SSL

Los certificados SSL son la piedra angular de la seguridad web. Se utilizan para vincular material criptográfico a una organización de confianza, con el fin de garantizar que un sitio web es legítimo y que el tráfico hacia él está debidamente cifrado y es confidencial. Siempre que aparece HTTPS delante de una dirección web, la página utiliza un certificado SSL.

El problema es que se puede comprar un certificado SSL por períodos de tiempo independientes del registro del nombre de dominio. El comprador sólo debe probar que posee y tiene el control de un nombre de dominio en el momento de la emisión del certificado. Por lo tanto, es completamente posible que un certificado SSL sobreviva al nombre de dominio al que está asociado. Este tipo de certificado SSL se llama BygoneSSL.

Cuando un popular procesador de pagos se lanzó en 2010, adquirió su nombre de dominio de un servicio de estacionamiento de dominios. El dominio cambió de propietario sin problemas, pero el año anterior, en 2009, el servicio de aparcamiento de dominios había adquirido un certificado SSL de dos años que cubría el dominio hasta 2011 y que no había sido revocado durante el año en que seguía siendo válido. El anterior propietario del nombre de dominio podría haber utilizado este certificado para interceptar el tráfico del sitio web y nadie se daría cuenta. El mismo riesgo se aplica a los nombres de dominio caducados.

Sin embargo, es posible que los propietarios de nombres de dominio soliciten que las CA (Autoridades de certificación, que emiten certificados) revoquen los certificados anteriores para los nombres de dominio que compren, ya sea que la propiedad se transfiera o simplemente expire y vuelva a registrarse.

Lo que complica aún más las cosas es que se pueden emitir certificados para más de un nombre de dominio. Algunos certificados -a menudo emitidos por CDNs (redes de entrega de contenido)- pueden tener cientos de dominios que no están relacionados entre sí. Si uno de esos nombres de dominio expira, alguien podría volver a registrarlo y solicitar legítimamente la revocación del certificado multidominio, rompiendo HTTPS en potencialmente cientos de sitios.

5. Software

Otra forma en que un nombre de dominio sigue vivo incluso después de que se ha ido es en varias referencias hechas a él en software.

Los fabricantes de enrutadores de Internet y otros dispositivos conectados a Internet suelen utilizar los nombres de dominio que poseen como una forma de acceder a la página de configuración de un dispositivo. Esto facilita la publicación de las instrucciones de configuración al indicar a los usuarios que se dirijan a un determinado nombre de dominio que puede resolverse gracias a la configuración interna del dispositivo incluso antes de que éste disponga de una conexión a Internet y que se utilice para cambiar la configuración del dispositivo más adelante.

Si ese nombre de dominio expira, podría funcionar sin problemas cuando un dispositivo no tiene conexión a Internet, pero cuando la tenga, podría usar DNS para resolver el nombre de dominio de configuración que pudo haber sido registrado por otra persona.

En 2016, dos dominios propiedad de un popular fabricante de enrutadores de Internet domésticos que en un momento dado se utilizaban para este fin expiraron y fueron registrados de nuevo por un tercero desconocido, que los puso en subastas por valor por $ 2.5 millones.

Aunque la empresa había dejado de utilizar los dominios para nuevos productos desde 2014, en ese momento uno de los dos dominios en cuestión seguía recibiendo casi 4,5 millones de visitantes al mes. En los tres años transcurridos desde entonces, a partir de septiembre de 2019, esta cifra se ha reducido a poco más de 550.000 visitantes al mes. Mientras tanto, las presiones eran aparentemente demasiado grandes y el fabricante de enrutadores ha vuelto a comprar el dominio.

Otro ejemplo son las inclusiones JavaScript «anticuadas». Algunos sitios web incluyen scripts JavaScript remotos en nombres de dominio que no están relacionados directamente con su propio sitio. Obviamente, es mejor que los administradores de sitios revisen rutinariamente sus sitios en busca de errores, lo que podría captar tales instancias, pero incluso en algunos de los sitios web más populares de Internet, se incluyen los scripts JavaScript remotos a los dominios vencidos. Estas se llaman «inclusiones rancias».

En 2012, un estudio descubrió que 47 de los 10,000 sitios web más importantes de Alexa incluían scripts JavaScript para dominios que estaban caducados en el momento en que se realizó el estudio. Es una pequeña proporción, pero estos dominios podrían ser resucitados para ejecutar scripts JavaScript maliciosos en estos sitios web.

El W3C recomienda ahora el uso de la Integridad de los Subrecursos (ISR). SRI asegura la integridad de los scripts y recursos inyectados. El uso de la ISR no sólo protege contra la gran mayoría de las inclusiones anticuadas, sino también contra amenazas como la adquisición de CDN.

Dicho esto, la mayoría de los scripts de terceros son sólo una puerta de entrada para incluir dinámicamente scripts actualizados con regularidad, por lo que es posible que esto no se aplique a muchos escenarios.

Del mismo modo, la Política de Seguridad de Contenidos (CSP) asegura que el script o recurso en cuestión se cargue a través de fuentes confiables.

CSP puede ser más fácil de implementar, siempre y cuando los scripts y recursos de terceros no carguen contenido para orígenes cambiantes o desconocidos como parte de su funcionamiento normal.

Pero no sólo en los scripts JavaScript los nombres de dominio caducados se mantienen en el software. Los plugins instalados en los navegadores de Internet cargarán su configuración y contenido haciendo referencia a los nombres de dominio y cuando estos expiren, estos plugins del navegador pueden seguir intentando ponerse en contacto con ellos automáticamente cuando se inician los navegadores.

De la misma manera, esto permitiría a alguien que registre un dominio caducado influir en la configuración del navegador en los ordenadores de los usuarios de forma remota.

Debian es un popular sistema operativo gratuito de código abierto para PCs y un desarrollador independiente utilizado para publicar un repositorio de paquetes multimedia para su uso con Debian en el nombre de dominio debian-multimedia.org. Aunque no estaba oficialmente asociado con Debian, era un repositorio popular al que muchos blogs y artículos de instrucciones enlazados y muchos usuarios de Debian tenían debian-multimedia.org referenciado en su versión del fichero que el gestor de paquetes de Debian utiliza para instalar o eliminar software automáticamente. Cuando el propietario del repositorio lo trasladó posteriormente a deb-multimedia.org, el antiguo dominio (debian-multimedia.org) expiró y fue registrado por un tercero desconocido.

Los mantenedores de Debian hicieron su debida diligencia y advirtieron a los usuarios de Debian que eliminaran debian-multimedia.org, y los paquetes de Debian están criptográficamente firmados por los mantenedores, por lo que una configuración normal de Debian no debería confiar sólo en los dominios.

En 2015, se produjo un incidente menos grave cuando expiró el nombre de dominio de una popular herramienta de edición de imágenes de código abierto. Los usuarios de la herramienta alertaron a los propietarios del dominio antes de que fuera demasiado tarde para recuperar el nombre de dominio, pero si hubiera expirado y se hubiera vuelto a registrar, el nuevo propietario podría haber empujado versiones corruptas de la herramienta a usuarios involuntarios como una actualización. Como en el caso de Debian anterior, los usuarios que no aceptaron paquetes sin firmar (que es estándar) no estaban en riesgo.

6. Reputación de dominio

Finalmente, un nombre de dominio no solo se recuerda por lo que se usó, sino también por cómo se usó. Los nombres de dominio tienen una reputación que se utiliza para despejar el tráfico hacia y desde ellos o para bloquearlo. La lista negra de nombres de dominio es una herramienta que se utiliza para detener la propagación del spam en Internet. Los dominios que son conocidos por sus comportamientos abusivos o de spam se añaden a las listas negras para evitar que los usuarios sean victimizados.

El inverso de la lista negra de nombres de dominio es la lista blanca de nombres de dominio, en la que el correo electrónico procedente de ciertos dominios pasa por alto los filtros de spam y se entrega sin importar qué.

Los dominios caducados que están en las listas blancas son obviamente atractivos para que los spammers se registren de nuevo, ya que les daría una puerta trasera alrededor de los filtros de spam.

Como se mencionó anteriormente, los enlaces y redirecciones a un nombre de dominio siguen dispersos por Internet. La fuerza y relevancia de estos enlaces construyen el SEO de un sitio durante su vida, y que el SEO puede llevar a la siguiente vida. Servicios como Domcop permiten a los usuarios buscar dominios caducados con buenos rankings SEO. En julio de 2018, la industria de SEO era una industria de casi 80 mil millones de dólares.

El registro de un dominio que ya ha tenido el trabajo duro puesto en él para optimizar la clasificación en los motores de búsqueda puede ser un atajo útil.

Todas estas diferentes maneras en que un dominio vive después de su expiración, a su vez, pueden hacer que estos dominios muertos sean candidatos atractivos para revivir.

El nombre de dominio después de la muerte

Los nombres de dominio pueden expirar y de hecho expiran, y a pesar de los esfuerzos de los registradores, los registros y ICANN para evitarlo, también pueden terminar siendo eliminados por completo. Pero para lo que se utilizaron en la vida todavía puede tener un impacto, e incluso puede ser una ruta para comprometer recursos clave, incluso después de que el dominio haya desaparecido.

Acompañenos la próxima semana cuando continuaremos nuestro viaje a través de la tierra de los dominios muertos y discutiremos cómo evitar la pérdida accidental de su nombre de dominio.