Universidades de élite sirven pornografía por errores en sus dominios: ¿cómo es posible?

Errores en dominios universitarios permiten redirecciones a pornografía y estafas

Un investigador ha revelado que algunos de los sitios web más prestigiosos del mundo, como los de las universidades de Berkeley, Columbia y Washington en St. Louis, están siendo utilizados para servir contenido pornográfico explícito y páginas maliciosas. El origen del problema radica en la mala gestión de los registros DNS por parte de los administradores de los sitios.

Según Alex Shakhov, investigador de SH Consulting, los ciberdelincuentes están explotando subdominios abandonados que no han sido correctamente eliminados. Cuando una universidad crea un subdominio, como provost.washu.edu, se genera un registro CNAME que asocia la URL con la dirección IP del servidor. Sin embargo, al desactivar el subdominio, este registro no siempre se elimina, dejando una puerta abierta para que actores maliciosos registren el dominio expirado y lo redirijan a contenido no deseado.

Ejemplos de subdominios comprometidos

Entre los casos detectados destacan:

• berkeley.edu: Subdominios como hXXps://causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html redirigían a pornografía explícita.
• columbia.edu: Subdominios como hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn mostraban contenido pornográfico.
• washu.edu: Un archivo PDF alojado en hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf contenía enlaces a sitios de estafas.

Además, en al menos un caso, los usuarios eran redirigidos a una página falsa que afirmaba que su equipo estaba infectado y les exigía pagar por la supuesta eliminación de malware.

Más de 34 universidades afectadas

Shakhov confirmó que, en total, cientos de subdominios pertenecientes a al menos 34 universidades han sido comprometidos. Los resultados de búsqueda de Google muestran miles de páginas hijackeadas, lo que evidencia la magnitud del problema.

¿Quién está detrás de estos ataques?

Un investigador independiente ha vinculado a los responsables con un grupo conocido como Hazy Hawk, especializado en este tipo de ciberataques. Estos actores aprovechan la falta de mantenimiento en los registros DNS para registrar dominios expirados y redirigir el tráfico a contenido malicioso o publicitario.

Consecuencias y riesgos

Este tipo de incidentes no solo dañan la reputación de las instituciones educativas, sino que también exponen a los usuarios a:

• Contenido inapropiado o ilegal.
• Estafas de phishing y malware.
• Pérdida de datos personales y financieros.

Los expertos recomiendan a las universidades revisar y actualizar periódicamente sus registros DNS, eliminando cualquier subdominio que ya no esté en uso. Además, sugieren implementar herramientas de monitoreo para detectar actividades sospechosas en tiempo real.

"La gestión deficiente de los registros DNS es un problema recurrente en muchas organizaciones. Los ciberdelincuentes buscan constantemente estos errores para explotarlos, y las universidades no son una excepción."

¿Cómo protegerse?

Los usuarios que accedan a sitios web universitarios deben:

• Verificar la URL antes de hacer clic en cualquier enlace.
• Utilizar extensiones de navegador que bloqueen contenido malicioso.
• Mantener actualizados sus sistemas de seguridad y antivirus.
• Reportar cualquier redirección sospechosa a los administradores del sitio.