(https://i.postimg.cc/FzdkyvDL/Pc-Security.gif) (https://postimages.org/)
Un esfuerzo conjunto de agencias internacionales de ciberseguridad, como la Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Buró Federal de Investigaciones (FBI), el Centro Australiano de Ciberseguridad de la Dirección de Señales de Australia (ACSC de ASD), el Centro Canadiense para la Ciberseguridad (CCCS) y el Centro Nacional de Ciberseguridad de Nueva Zelanda (NCSC-NZ), ha puesto de manifiesto un problema crítico de seguridad conocido como Fast Flux.
Según un aviso conjunto, tanto ciberdelincuentes como actores estatales están explotando esta nueva técnica, que les permite ocultar la ubicación de servidores maliciosos y mantener una infraestructura de comando y control (C2) persistente, y ha sido declarada una amenaza para la seguridad nacional.
Comprensión del Fast Flux
El mecanismo principal del fast flux reside en la manipulación dinámica de los registros del Sistema de Nombres de Dominio (DNS). Al alterar rápidamente las direcciones IP asociadas a un único dominio, los atacantes ocultan eficazmente la ubicación real de sus servidores maliciosos. Esta rápida rotación hace que los métodos tradicionales de bloqueo basados en IP sean ineficaces, ya que la dirección IP objetivo queda obsoleta casi de inmediato.
Las investigaciones revelan que los ciberdelincuentes emplean dos métodos de fast flux: el single flux y el double flux. El single flux consiste en vincular un único nombre de dominio a numerosas direcciones IP que rotan con frecuencia, lo que garantiza que, incluso si una IP está bloqueada, el dominio siga siendo accesible.
Single Flux
(https://hackread.com/wp-content/uploads/2025/04/CISA-Declares-Fast-Flux-a-National-Security-Threat-1.png)
Por el contrario, Double Flux mejora aún más esta ofuscación al cambiar con frecuencia los servidores de nombres DNS responsables de resolver el dominio, agregando otra capa de anonimato.
Double Flux
(https://hackread.com/wp-content/uploads/2025/04/CISA-Declares-Fast-Flux-a-National-Security-Threat-2.png)
"Estas técnicas aprovechan una gran cantidad de hosts comprometidos", señala CISA, y a menudo forman botnets que actúan como servidores proxy para ocultar el origen del tráfico malicioso.
Aplicaciones maliciosas y el papel del hosting a prueba de balas
CISA enfatiza que Fast Flux no se utiliza únicamente para mantener las comunicaciones C2. Desempeña un papel importante en las campañas de phishing, dificultando el desmantelamiento de sitios web de ingeniería social.
Además, los proveedores de hosting a prueba de balas (BPH), que ignoran las solicitudes de las fuerzas del orden, lo ofrecen cada vez más como servicio a sus clientes. Esto permite el funcionamiento fluido de actividades maliciosas como la gestión de botnets, tiendas online falsas y el robo de credenciales, a la vez que proporciona una capa de protección contra la detección y el desmantelamiento. Además, se ha utilizado en ataques de ransomware como Hive y Nefilim. Un proveedor de BPH incluso promocionó la capacidad del servicio para eludir las listas de bloqueo de Spamhaus, destacando su atractivo para los ciberdelincuentes.
Detección y mitigación
Las agencias recomiendan encarecidamente un enfoque multicapa para detectar y mitigar los ataques de "Fast Flux". Esto incluye el aprovechamiento de las fuentes de inteligencia de amenazas, la implementación de la detección de anomalías en los registros de consultas DNS, el análisis de los valores de tiempo de vida (TTL) de los registros DNS, la monitorización de geolocalización inconsistente y el uso de datos de flujo para identificar patrones de comunicación inusuales.
Para las organizaciones, las agencias recomiendan el bloqueo de DNS e IP, el filtrado de reputación, la monitorización y el registro mejorados, y la capacitación sobre concientización sobre phishing como estrategias de mitigación eficaces. Es crucial que las organizaciones se coordinen con sus proveedores de servicios de Internet y de ciberseguridad, en particular con los proveedores de DNS Protector (PDNS), para implementar estas medidas, concluye el aviso.
John DiLullo, director ejecutivo de Deepwatch, una plataforma de ciberresiliencia basada en IA y humanos con sede en San Francisco, California, comentó sobre el último desarrollo: «Este último aviso será un duro golpe para muchas organizaciones. Cualquier empresa que dependa de la reputación de IP como un medio fiable para proteger su infraestructura o sus datos confidenciales es un blanco fácil para este tipo de vulnerabilidad».
Afortunadamente, las técnicas de detección correlativa, especialmente las que utilizan métodos de aprendizaje automático de baja velocidad, pueden contrarrestar estas intrusiones fácilmente. Sin embargo, las infraestructuras de muchas empresas aún no están preparadas para ello. Esto supone una importante llamada de atención, advirtió.
Fuente:
HackRead
https://hackread.com/nsa-allies-fast-flux-a-national-security-threat/