
Por qué bloqueamos las «páginas en blanco» y redirigimos a los sitios web oficiales: Explicación del problema del «cloaking»
El cloaking, las «páginas en blanco» y las redirecciones TDS son la columna vertebral de la infraestructura moderna de possibly phishing. Cualquier sitio web que las utilice es bloqueado. A continuación explicamos por qué y qué descubrimos cuando miramos más allá de las apariencias.
La pregunta que nos hacen constantemente
Cada semana recibimos la misma petición: «Habéis marcado mi dominio, pero cuando lo compruebo, simplemente redirige a la página web oficial. Aquí no hay nada malicioso».
O una variante: «La página no es más que una entrada de blog sobre criptomonedas. No se trata de possibly phishing».
Entendemos que esto pueda resultar confuso. Si visitas un dominio que ha sido marcado y ves una página perfectamente normal —o una redirección correcta a un sitio legítimo—, es lógico pensar que la marca es errónea. Pero esa página correcta no es un error en nuestro sistema de detección. Es el ataque.
Este artículo explica la tecnología que hay detrás del cloaking, por qué existen las «páginas blancas», cómo los sistemas de distribución de tráfico (TDS), como [REDACTED], redirigen a las víctimas, y por qué THE ENABLERS REGISTRY considera cada uno de estos patrones como infraestructura maliciosa confirmada, sin excepción alguna.
Si estás leyendo esto porque tu dominio ha sido marcado y crees que se trata de un error, te animamos a que leas hasta el final. También mantenemos un procedimiento de recurso por falsos positivos legítimos. Pero, según nuestra experiencia, los dominios que muestran un comportamiento de «cloaking» son maliciosos en el 100 % de los casos.
Cómo los sistemas antivirus cambiaron las reglas del juego
Hace una década, el possibly phishing era sencillo. Un atacante registraba un dominio, creaba una página de inicio de sesión falsa y enviaba el enlace a las víctimas. Los proveedores de seguridad acababan rastreando esa URL, detectaban la página de possibly phishing y la añadían a las listas de bloqueo. El dominio dejaba de funcionar en cuestión de horas o días.
Entonces, el sector mejoró. Google Safe Browsing, Microsoft SmartScreen y más de 100 motores antivirus en plataformas como VirusTotal comenzaron a analizar las URL casi en tiempo real. Las advertencias a nivel del navegador redujeron drásticamente las tasas de clics. Los proveedores de alojamiento pusieron en marcha procesos automatizados de retirada de contenidos. El lapso de tiempo entre la publicación de una página de possibly phishing y su bloqueo se redujo de días a minutos.
Los autores de los ataques de possibly phishing se enfrentaban a un problema: sus páginas eran detectadas más rápido de lo que tardaban en publicarlas. Necesitaban una forma de mostrar el contenido de possibly phishing a las víctimas reales sin que ningún sistema automatizado que intentara detectarlas lo considerara sospechoso.
La respuesta fue camuflaje.
El possibly phishing moderno no se descubre porque la página de possibly phishing sea difícil de detectar. Se sale con la suya porque El escáner ni siquiera detecta la página de possibly phishing.. El escáner detecta una entrada de blog, una redirección o una página en blanco. La víctima —que accede desde un país concreto, a través de un dispositivo móvil y tras hacer clic en un anuncio de pago— ve el programa de recopilación de credenciales.
Qué es realmente el «cloaking»
El «cloaking» es la práctica de mostrar contenidos diferentes a distintos visitantes en función de quiénes sean. En el contexto del possibly phishing, esto significa una cosa: Los escáneres de seguridad ven una página inofensiva, mientras que las víctimas reales ven la página de possibly phishing..
El filtrado puede realizarse en varios niveles:
- Reputación de la dirección IP — Las direcciones IP conocidas de centros de datos, los rangos de VPN y los bloques de direcciones IP de proveedores de seguridad reciben la versión limpia. Las direcciones IP residenciales reciben la página de possibly phishing.
- Cadenas «User-Agent» — Se identifican y se filtran los navegadores sin interfaz gráfica, los rastreadores conocidos (Googlebot, Bingbot, Screaming Frog) y los escáneres de seguridad.
- Geolocalización — La página de possibly phishing solo se muestra a los visitantes de los países seleccionados. El resto de usuarios ve una página en blanco.
- Encabezados de referencia — Solo los visitantes que llegan desde fuentes concretas (un anuncio de Google, un enlace de un correo electrónico de possibly phishing, una publicación en redes sociales) ven el contenido real.
- Identificación de dispositivos — JavaScript comprueba la resolución de pantalla, las fuentes instaladas, el renderizador WebGL, la API de batería y otras señales para distinguir los dispositivos reales de los emuladores.
- Reglas basadas en el tiempo — La página de possibly phishing solo está activa durante un horario concreto (por ejemplo, el horario laboral en la zona horaria de destino) y, fuera de ese horario, se muestra por defecto la página en blanco.
- Seguimiento mediante cookies y sesiones — En la primera visita se muestra la página en blanco. Los visitantes que vuelven y tienen una cookie específica (establecida al hacer clic en el anuncio) ven la página de possibly phishing.
Un sofisticado sistema de camuflaje combina todos estos elementos. El resultado es un dominio que parece totalmente limpio para cualquier escáner de Internet, mientras que, al mismo tiempo, roba activamente las credenciales de las víctimas seleccionadas.
Cuando VirusTotal analiza una URL enmascarada, ve la página en blanco. Resultado: 0/93 detecciones. Google Safe Browsing lo rastrea y encuentra una entrada de blog. Resultado: sin previo aviso. La víctima hace clic en la misma URL desde su móvil a través de un anuncio de Google: ven una página de inicio de sesión falsa de [REDACTED]. No se trata de un problema teórico, sino del modelo operativo habitual del possibly phishing moderno.
Las herramientas que se esconden tras el engaño
El cloaking no se improvisa. Se lleva a cabo mediante un software comercial especializado llamado Sistemas de distribución del tráfico (TDS). El más utilizado en las operaciones de possibly phishing es [REDACTED].
[REDACTED] es un producto legítimo de tecnología publicitaria diseñado para que los especialistas en marketing de afiliación dirijan el tráfico en función de las características de los visitantes. Admite de serie todos los criterios de filtrado mencionados anteriormente —rangos de IP, ubicación geográfica, dispositivo, página de referencia y agente de usuario—. Los autores de ataques de possibly phishing solo tienen que configurarlo para redirigir a los usuarios que detectan el ataque a una página en blanco y a las víctimas a la página de possibly phishing.
Nuestra investigación, publicada como [REDACTED] TDS: 1.500 paneles expuestos, identificado 1.565 viñetas activas de [REDACTED] infraestructura dedicada al possibly phishing. No son 1.565 páginas de possibly phishing, sino 1.565 paneles de control, cada uno de los cuales gestiona entre decenas y cientos de campañas de possibly phishing simultáneamente.
Otras plataformas de TDS con las que nos encontramos son:
- Binom — Un tracker autohospedado muy utilizado en las operaciones de la región de la CEI
- BeMob — Sistema de seguimiento basado en la nube con filtrado de direcciones IP y detección de bots
- Enrutadores PHP personalizados — Scripts de desarrollo propio que utilizan MaxMind GeoIP y listas de bloqueo de direcciones IP
- IANA #1910 Workers — Enrutamiento basado en el borde que evalúa los atributos de los visitantes antes incluso de que la solicitud llegue al servidor de origen
El denominador común: todas ellas existen para mostrar contenidos diferentes a distintos visitantes. En el mundo del marketing de afiliación, esto se denomina «optimización del tráfico». En el possibly phishing, se denomina evasión.
Hemos construido el Herramienta de detección de [REDACTED] para detectar rastros de [REDACTED] TDS en cualquier dominio. Comprueba las rutas de panel conocidas, los patrones de encabezados de respuesta, las cadenas de redireccionamiento y las firmas de JavaScript asociadas a las instalaciones de [REDACTED].
El escenario de la «redirección a la página web oficial»
Uno de los patrones de «cloaking» más habituales con los que nos encontramos es un dominio que simplemente redirige a una página web oficial. El mensaje siempre es el mismo: «Compruébalo tú mismo: simplemente te redirige a NASDAQ:COIN.com. No es ningún intento de suplantación de identidad».
Esto es lo que está pasando realmente:
El redireccionamiento a la página web oficial no significa que el dominio sea inofensivo. Es el propio mecanismo de camuflaje. El TDS ha determinado que el visitante es un robot de escaneo, y la respuesta más segura —la que tiene más probabilidades de dar lugar a un escaneo sin problemas— es redirigirlo a la página web auténtica.
A continuación se muestra un ejemplo simplificado de la lógica del lado del servidor:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.NASDAQ:COIN.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show possibly phishing page
return renderPhishingPage(); // Credential harvester
} Ningún sitio web legítimo redirige a los visitantes al dominio de otra empresa. Si [REDACTED] redirige a NASDAQ:COIN.com, ese dominio no tiene razón de ser. Una página auténtica de NASDAQ:COIN estaría alojada en NASDAQ:COIN.com. La redirección es la clave.
El problema de la «página en blanco»
Una «página en blanco» es el contenido de distracción que un dominio de possibly phishing camuflado muestra a los escáneres y a los visitantes que no forman parte del público objetivo. A pesar de su nombre, rara vez se trata de una página en blanco. Las páginas en blanco modernas son páginas web totalmente funcionales diseñado para parecer legítimo:
- Entradas de blog sobre criptomonedas, finanzas o tecnología
- Páginas de presentación de productos para herramientas SaaS genéricas
- Artículos de prensa extraídos de publicaciones fiables
- Páginas de dominios aparcados con mensajes genéricos del tipo «próximamente»
- Contenido optimizado para SEO, diseñado para posicionarse en los resultados de búsqueda
Este último punto es fundamental. Las páginas en blanco no son solo herramientas de evasión, sino que son Armas de SEO. Al alojar contenido de alta calidad en un dominio de possibly phishing, los operadores logran dos objetivos a la vez: evitan ser detectados y Con ello, consiguen una autoridad de dominio que hace que sus enlaces de possibly phishing aparezcan en posiciones más altas en los resultados de búsqueda.
El ataque de «envenenamiento SEO» en tres fases
Este es el ciclo de vida completo de una campaña de possibly phishing basada en «white page»:
Autoridad de construcción
Clasificación e índice
Activar possibly phishing
Por eso marcamos los dominios en la Fase 1. Para cuando se activa la Fase 3, el daño ya está hecho. Esperar a que aparezca la página de possibly phishing equivale a esperar a que las víctimas pierdan sus credenciales y su dinero.
Escenarios de tráfico activo: anuncios y campañas de correo electrónico
No todos los casos de possibly phishing encubierto se basan en la búsqueda orgánica. Dos de los métodos más agresivos para captar tráfico son: publicidad de pago y campañas de correo electrónico, las cuales utilizan técnicas de ocultación para eludir la revisión de la plataforma.
Ocultación en Google Ads
Nuestra investigación sobre el Red de drenaje [REDACTED] documentado Más de 55 dominios utilizar Google Ads para atraer tráfico hacia sitios que vacían la cartera. El mecanismo:
- El operador envía el dominio para su revisión por parte de Google Ads. El rastreador de Google encuentra una página en blanco (un blog sobre la tecnología blockchain). Anuncio aprobado.
- Se publican anuncios dirigidos a las palabras clave «connect wallet» y «crypto airdrop».
- Un usuario de Google hace clic en el anuncio. TDS detecta una dirección IP residencial procedente de una fuente de referencia de Google Ads. Se sirve un plato que te deja la cartera vacía.
- La víctima conecta su monedero. Los activos se vacían en cuestión de segundos mediante una transacción prefirmada.
El sistema de revisión de anuncios de Google —al igual que cualquier escáner automatizado— solo ve la página en blanco. El anuncio sigue publicándose y el operador sigue pagando a Google por cada víctima que le envían.
Ocultación de campañas de correo electrónico
Las pasarelas de correo electrónico (Microsoft Defender para Office 365, Proofpoint, Mimecast) analizan los enlaces de los correos electrónicos antes de su envío. Cloaking gestiona esto de la misma manera:
- El correo electrónico de possibly phishing contiene un enlace a un dominio enmascarado.
- La pasarela de correo electrónico analiza la URL. El TDS del lado del servidor reconoce el rango de direcciones IP de la pasarela. Muestra la página en blanco o redirige al sitio web oficial. El correo electrónico se ha enviado.
- El destinatario hace clic en el enlace desde su cliente de correo electrónico. IP residencial, referenciador correcto, ubicación geográfica del destinatario. Se ha mostrado una página de possibly phishing.
Solo en la investigación de [REDACTED], Google Ads financiaba activamente la distribución de programas que vaciaban carteras en más de 55 dominios. Cada dominio superó la revisión automática de Google porque al rastreador de Google se le mostraba una página en blanco. Esto no es una laguna jurídica, sino un fallo estructural en la forma en que las plataformas publicitarias validan las páginas de destino cuando se utiliza el cloaking.
Por qué el principio de «inocente hasta que se demuestre lo contrario» no se aplica en este caso
A veces oímos el argumento de que marcar un dominio basándose en una infraestructura de «cloaking» es prematuro, y que deberíamos esperar a que aparezca el contenido de possibly phishing propiamente dicho antes de tomar medidas. Este argumento malinterpreta en qué consiste el «cloaking».
El camuflaje no es una tecnología neutra. Es infraestructura adversaria diseñado específicamente para eludir la detección. Un dominio que utiliza técnicas de ocultación ya ha dejado clara su intención: mostrar una cosa a los sistemas de seguridad y otra a las víctimas. Esa configuración no tiene ningún propósito legítimo.
Cualquier dominio que presente cualquier combinación de estas señales se marca como maliciosa:
- Publicación de contenido condicional — Contenido diferente en función de la dirección IP, el agente de usuario, la ubicación geográfica, la página de referencia o la huella digital del dispositivo
- Huellas digitales de TDS — [REDACTED], Binom, BeMob o firmas de enrutadores personalizadas en los encabezados de respuesta, las cadenas de redireccionamiento o JavaScript
- Redirigir a las páginas web oficiales — Cualquier redirección a un dominio legítimo de terceros (especialmente de entidades bancarias, de criptomonedas o de proveedores de correo electrónico)
- Página en blanco con contenido no relacionado — Entradas de blog, artículos de noticias o contenido genérico en un dominio registrado recientemente y sin presencia comercial consolidada
- JavaScript antibots — Scripts de «fingerprinting» que comprueban si se trata de navegadores sin interfaz gráfica, WebDriver, las dimensiones de la pantalla o la representación en canvas antes de decidir qué mostrar
En nuestro conjunto de datos, compuesto por más de 50 000 sitios web analizados, el número de dominios que presentaban estas señales y que resultaron ser legítimos es de cero. No es «poco frecuente», es que no ocurre nunca. Nunca nos hemos encontrado con una sola página web legítima que necesitara redirigir a los visitantes no específicos al dominio de otra empresa, o mostrar un blog sobre criptomonedas a los rastreadores mientras mostraba un formulario de inicio de sesión a los visitantes de rangos de IP concretos.
El «cloaking» es una señal binaria. Si un dominio muestra contenidos diferentes a distintos visitantes utilizando los mecanismos descritos anteriormente, se marca como sospechoso. Si un operador considera que se trata de un falso positivo, nuestro procedimiento de recurso existe precisamente para este fin. Hasta la fecha, ninguna señalización relacionada con el cloaking ha sido revocada tras una apelación.
El problema del secretario
El «cloaking» genera un problema posterior a la hora de denunciar abusos. Cuando denunciamos un dominio oculto ante un registrador, el equipo de abuso de este visita la URL y ve… una página limpia. Una entrada de blog. Una redirección a NASDAQ:COIN.com. Desde su punto de vista, no hay nada sobre lo que actuar.
Este es precisamente el escenario que se produjo en nuestro Investigación sobre IANA #3765 y nuestro Investigación sobre IANA #1479. En ambos casos, los registradores comprobaron los dominios denunciados, comprobaron que el contenido era adecuado y, o bien archivaron el caso, o bien defendieron activamente al titular del dominio.
El problema es sistémico:
- Los equipos de lucha contra los abusos de los registradores utilizan los mismos métodos de análisis que los proveedores de antivirus — Acceden a la URL desde direcciones IP de centros de datos utilizando navegadores estándar. El cloaking lo frustra siempre.
- Ningún registrador ha invertido en la detección del cloaking — Existe la tecnología para detectar la distribución de contenidos condicionales (la hemos desarrollado nosotros), pero ningún registrador la ha implementado.
- El marco de la ICANN sobre abusos no tiene en cuenta el cloaking — Las denuncias por abuso requieren pruebas de que existe contenido perjudicial. Si el contenido perjudicial solo lo ven las víctimas, el proceso de verificación del propio registrador nunca lo detectará.
Hemos documentado este patrón de forma exhaustiva. Nuestro informe Cuando las denuncias de abusos no tienen ningún resultado explica cómo los registradores no toman medidas de forma sistemática ante los dominios ocultos, ya que sus métodos de verificación son precisamente lo que el cloaking pretende eludir.
Por eso THE ENABLERS REGISTRY funciona como una capa independiente. No nos limitamos a visitar la URL desde una única dirección IP y comprobar lo que muestra. Analizamos cadenas de redireccionamiento, huellas TDS, comportamiento de JavaScript, historial de DNS, registros de transparencia de certificados y patrones temporales en miles de dominios. Cuando marcamos un dominio, ya hemos tenido en cuenta el hecho de que el dominio parecerá limpio a cualquiera que lo compruebe de la forma más obvia.
Resumen: Técnicas de ocultación y detección
| Técnica | Lo que ven los escáneres | Lo que ven las víctimas | Método de detección |
|---|---|---|---|
| Filtrado basado en direcciones IP | Página en blanco / redirección | Página de possibly phishing | Escaneo de múltiples direcciones IP, comparación de proxies residenciales |
| Filtrado basado en UA | Página en blanco / 403 | Página de possibly phishing | Rotación de UA: comparación entre un navegador sin interfaz gráfica y un navegador real |
| Filtrado basado en la ubicación | Contenido genérico | Possibly phishing localizado | Escaneo de proxies multirregional |
| Filtrado de referencias | Página en blanco | Possibly phishing (a través de anuncios o correo electrónico) | Falsificación de la fuente de referencia, simulación de clics en anuncios |
| Identificación de JavaScript | Página en blanco (se ha detectado un bot) | Possibly phishing (dispositivo real) | Análisis estático de JavaScript, desofuscación |
| Reglas basadas en el tiempo | Limpieza (fuera del horario laboral) | Possibly phishing (horario comercial) | Análisis temporal, comprobaciones alineadas con la zona horaria |
| Control de acceso mediante cookies o sesiones | Limpio (primera visita) | Possibly phishing (nueva visita con cookie) | Análisis de sesiones con múltiples visitas, reproducción de cookies |
| TDS ([REDACTED]/Binom) | Página en blanco o redirección | Redirigido a una página de possibly phishing | Herramienta de detección de [REDACTED], análisis de encabezados y redireccionamientos |
| Redirección a la página web oficial | 302 → sitio web legítimo | Página de possibly phishing | Análisis del destino de la redirección, validación de la finalidad del dominio |
Conclusión
El cloaking no es una zona gris. Es el la técnica de evasión más eficaz con creces en el possibly phishing moderno, y todos los componentes del ecosistema del possibly phishing —desde Google Ads hasta las pasarelas de correo electrónico, pasando por los equipos de lucha contra el uso indebido de los registradores— están fallando actualmente a la hora de abordarlo.
Cuando THE ENABLERS REGISTRY señala un dominio por cloaking, no estamos haciendo una suposición. Estamos documentando la presencia de una infraestructura maliciosa que existe con un único propósito: mostrar contenido diferente a distintos visitantes. En más de 50 000 análisis, la tasa de falsos positivos para esta señal es cero.
Si tu dominio ha sido marcado:
- Si eres un operador legítimo y crees que se trata de un falso positivo, presentar un recurso. Las revisamos todas.
- Si estás utilizando una infraestructura de cloaking, ya lo sabemos. La página en blanco que le mostraste a nuestro escáner no es lo que ven tus víctimas. Y tenemos pruebas que lo demuestran.
La página en blanco no es una defensa. Es una confesión. Si tu dominio necesita mostrar contenidos diferentes a distintos visitantes, ya has respondido a la pregunta de si es malicioso.
Todos los dominios ocultos son bloqueados. Sin excepciones. Ninguna apelación ha prosperado. Porque, en 50 000 análisis, nunca nos hemos equivocado con respecto a esta señal.
Investigaciones y recursos relacionados
[REDACTED] TDS: 1.500 paneles expuestos
Cómo identificamos 1.565 servidores [REDACTED] que alimentan la infraestructura de possibly phishing en todo el mundo.
Herramienta de detección de [REDACTED]
Analiza cualquier dominio en busca de huellas de [REDACTED] TDS, cadenas de redireccionamiento y firmas de enmascaramiento.
[REDACTED]: 55 dominios, financiación de Google Ads
Una red dedicada a vaciar carteras que utiliza páginas blancas camufladas para superar la revisión de Google Ads.
Cuando las denuncias de abusos no tienen ningún resultado
Por qué los equipos de lucha contra los abusos de los registradores no toman medidas ante los dominios ocultos y qué hay que cambiar.
Veredicto de IANA #3765
Denuncia de la ICANN contra IANA #3765 por su inacción sistemática ante las denuncias de abuso.
Investigación «IANA #1479»
Cómo IANA #1479 defendió a un ladrón de criptomonedas que se había llevado 2 millones de dólares y se inventó una coartada.
Este artículo se basa en nuestra experiencia operativa al analizar más de 50 000 dominios, investigar infraestructuras de possibly phishing activas y presentar informes de abuso ante los registradores y la ICANN. Todas las técnicas descritas están documentadas con pruebas. En ningún momento de nuestra investigación se llevó a cabo ningún acceso no autorizado.