Netcrook Logo
👤 LOGICFALCON
🗓️ 15 Apr 2026   🌍 Middle-East

La catástrofe de los $10: cómo un dominio olvidado casi entregó a los hackers las llaves de 25,000 sistemas críticos

Un solo dominio sin registrar podría haber permitido a ciberdelincuentes de todo el mundo controlar silenciosamente decenas de miles de endpoints de alto valor, incluidos aquellos en gobiernos, educación e infraestructuras críticas.

Todo comenzó como una investigación rutinaria sobre adware en navegadores, pero lo que los investigadores de Huntress descubrieron era una bomba de tiempo: un único dominio web sin reclamar, disponible por solo $10, que podría haber dado a los ciberdelincuentes el control indetectable de más de 25,000 computadoras en todo el mundo, incluidos sistemas dentro de empresas eléctricas, agencias gubernamentales y universidades.

Datos clave

  • Un dominio sin registrar vinculado a malware podría haber permitido el control remoto de más de 25,000 endpoints.
  • Los objetivos incluían 41 redes de tecnología operativa (OT), 35 entidades gubernamentales y cientos de instituciones educativas.
  • El malware desactivaba las protecciones antivirus, dejando los sistemas infectados indefensos.
  • Las infecciones se extendieron por 124 países, siendo EE. UU., Francia, Canadá, Reino Unido y Alemania los más afectados.
  • Los investigadores redirigieron el dominio a un “sinkhole” para evitar una explotación masiva.

Anatomía de un casi desastre

En el centro de este drama cibernético se encuentra un paquete de software de apariencia inocente, firmado por una empresa con sede en los Emiratos Árabes Unidos, Dragon Boss Solutions. Durante mucho tiempo fue descartado como un simple secuestrador de navegadores o “programa potencialmente no deseado” (PUP), pero el software había evolucionado silenciosamente hasta convertirse en una amenaza sigilosa y altamente capaz.

A partir de marzo de 2025, los analistas de Huntress observaron que el malware desplegaba scripts de PowerShell con privilegios administrativos. Estos scripts desactivaban sistemáticamente las herramientas de seguridad, bloqueaban los servidores de actualizaciones y creaban accesos persistentes en las máquinas infectadas mediante tareas programadas y desencadenadores de eventos WMI. El malware incluso añadía excepciones en Windows Defender para ocultar sus futuras cargas maliciosas, abriendo la puerta a ataques aún más peligrosos como ransomware o criptominería.

Sin embargo, el aspecto más inquietante residía en su mecanismo de actualización. Todas las actualizaciones de cargas maliciosas debían obtenerse de un solo dominio: chromsterabrowser[.]com. Pero cuando Huntress lo comprobó, el dominio no estaba registrado, lo que significaba que cualquiera, amigo o enemigo, podía comprarlo por unos pocos dólares y obtener al instante el control de todos los endpoints comprometidos. Con las defensas antivirus ya neutralizadas, un actor malicioso podría haber distribuido silenciosamente cualquier código, desde herramientas de espionaje hasta malware destructivo, en 25,000 sistemas.

Actuando con rapidez, Huntress registró el dominio y configuró un “sinkhole” para observar el tráfico. Los resultados fueron asombrosos: llegaron conexiones de 124 países, incluyendo no solo usuarios comunes, sino también empresas Fortune 500, compañías eléctricas, oficinas gubernamentales y universidades. Entre las 324 redes más sensibles, 41 eran entornos OT - sistemas que controlan infraestructuras físicas como redes eléctricas y transporte.

Los expertos en seguridad advierten que, aunque en esta ocasión se evitó la catástrofe, el incidente expone una debilidad flagrante: la importancia crítica de la gestión de dominios en la cadena de suministro de software. Un simple descuido - un dominio de actualización sin registrar - pudo haber permitido un desastre cibernético global, todo por el precio de una comida rápida.

Conclusión

Este episodio sirve como un recordatorio aleccionador: en ciberseguridad, a veces los descuidos más pequeños pueden tener las consecuencias más catastróficas. Mientras las organizaciones se apresuran a buscar señales de compromiso, el incidente de los $10 queda como una advertencia sobre la vigilancia, la seguridad en la cadena de suministro y el delgado margen que separa la seguridad del caos en la era digital.

WIKICROOK

  • Endpoint: Un endpoint es cualquier dispositivo, como una computadora o un teléfono inteligente, que se conecta a una red y debe mantenerse seguro y actualizado para prevenir amenazas cibernéticas.
  • Tecnología Operativa (OT): La Tecnología Operativa (OT) incluye sistemas informáticos que controlan equipos y procesos industriales, lo que a menudo los hace más vulnerables que los sistemas de TI tradicionales.
  • Persistencia: La persistencia implica técnicas utilizadas por el malware para sobrevivir a reinicios y permanecer oculto en los sistemas, a menudo imitando procesos o actualizaciones legítimas.
  • Sinkhole: Un sinkhole es un método de ciberseguridad que redirige el tráfico malicioso a servidores controlados, permitiendo a los expertos bloquear ataques y estudiar amenazas cibernéticas.
  • Indicador de Compromiso (IoC): Un Indicador de Compromiso (IoC) es una pista, como un archivo sospechoso o una dirección IP, que señala que un sistema podría haber sido hackeado.
Cybersecurity Unregistered Domain Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news