Universidades sirviendo porno: el caos de los subdominios abandonados
Photo via Unsplash
Los subdominios universitarios secuestrados están sirviendo contenido pornográfico y páginas de estafa a usuarios de todo el mundo, y el problema afecta a decenas de instituciones académicas de primer nivel. No es un hackeo sofisticado: es el resultado de un descuido administrativo que lleva años acumulándose en silencio.
Cómo llegamos hasta aquí
Las universidades crean subdominios constantemente para proyectos, departamentos, eventos o investigaciones. El problema es que cuando esos proyectos terminan, nadie se molesta en desactivar el subdominio correctamente. Un subdominio huérfano sigue apuntando a servicios externos que ya no existen, y eso abre una ventana perfecta para que cualquier oportunista la ocupe.
Qué está pasando exactamente
Según el informe de Ars Technica, cientos de subdominios pertenecientes a decenas de universidades han sido comprometidos por estafadores que los usan para distribuir contenido para adultos, publicidad fraudulenta y páginas de phishing. El método es técnicamente conocido como subdomain takeover: el atacante detecta que un subdominio apunta a un servicio de terceros desactivado —como una cuenta de GitHub Pages o un bucket de AWS— y simplemente lo reclama. La reputación del dominio universitario (altísima en SEO y en la percepción del usuario) hace el resto del trabajo. Los motores de búsqueda confían en dominios .edu, así que este contenido basura puede posicionarse increíblemente bien.
Lo que esto realmente significa
Esto no es un fallo tecnológico, es un fallo de gestión. Las universidades invierten millones en ciberseguridad avanzada mientras dejan puertas traseras abiertas por pura desidia burocrática. Los grandes perdedores son los estudiantes, investigadores y cualquier persona que confíe en un enlace .edu asumiendo que es seguro, una suposición que hasta ahora era bastante razonable.
El impacto más allá del escándalo
Este tipo de ataque debería ser una llamada de atención para cualquier organización que gestione dominios a gran escala: empresas, gobiernos, ONGs. La higiene de DNS —revisar y limpiar registros obsoletos de forma periódica— no es opcional, es básica. Si las universidades más prestigiosas del mundo no tienen esto bajo control, ¿qué esperamos del resto?
- Auditar todos los subdominios activos con herramientas como
subfinderoamass. - Eliminar o redirigir cualquier subdominio que no apunte a un recurso activo y controlado.
- Implementar alertas automáticas cuando un servicio de terceros vinculado a un subdominio deja de responder.
La solución técnica es sencilla y barata. Lo complicado es convencer a los departamentos de IT institucionales de que esto merece cinco minutos de atención.
La próxima vez que veas un enlace .edu en los resultados de búsqueda, quizás valga la pena pensarlo dos veces.
Fuente: Ars Technica