Cómo piratear a China por solo $ 1,800

Los defraudadores pueden tener un buen negocio esperándolos en forma de un oscuro nombre de dominio chino que está a la venta en Internet.

El dominio wpad.cn está a la venta, según una nota publicada en el sitio web. Ese hecho probablemente no signifique mucho para la mayoría de la gente, pero para Duane Wessels es un gran problema. Él dice que si caía en manos de delincuentes podría ser mal utilizado por phishing u otros tipos de fraude.

Wessels, el presidente de Measurement Factory, posee cinco dominios wpad: wpad.com, wpad.net, wpad.org, wpad.biz y wpad.us. Entre ellos, recibe 5 millones de visitas por día. La mayoría de ellos provienen de computadoras con Windows que buscan erróneamente información de configuración de red, gracias a un error de Windows de hace una década que Microsoft fijó por primera vez en 1.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Nadie sabe por qué los sitios como Wessels 'continúan recibiendo tanto tráfico mucho después de que Microsoft reparó el error. Él piensa que puede provenir de versiones antiguas de Windows, programas oscuros con componentes web incorporados o incluso servidores mal configurados en la red. Microsoft no respondió a una consulta sobre el tema el martes.

Según Wessels, si los delincuentes tomaran el control del dominio wpad.cn podrían establecerse como un servidor web proxy para sus víctimas, redirigiéndolos a un sitio de suplantación de identidad (phishing) o infiltración de anuncios no deseados en sus computadoras.

La falla que envía tanto tráfico a los sitios de Wessels radica en la forma en que algunas PC buscan un servidor de Autodescubrimiento de Proxy Web (WPAD) en la red. Estos servidores son máquinas de confianza, configuradas por los administradores para enviar a la PC un archivo de configuración web llamado wpad.dat.

El nombre del servidor WPAD comenzará con wpad (como en wpad.corp.idg.com) por lo que, utilizando una técnica conocido como DNS devolution, los sistemas de Windows buscarán en todas partes una máquina que comience con esas cuatro letras. Desafortunadamente, esto a veces los envía fuera de la red, al sitio web wpad.com de Wessels, por ejemplo. Las computadoras en China que estaban similarmente mal configuradas probablemente mirarían al dominio wpad.cn.

Wessels y otros expertos de DNS piensan que alguien probablemente podría hacer un mal uso del dominio wpad.cn enviando archivos wpad.dat maliciosos a esas computadoras. "Podría usarse para extraer información como nombres de cuentas y números de cuenta", dijo Cricket Liu, vicepresidente de arquitectura de Infoblox. "Podrías modificar cualquier contenido que pudieran ver".

Contactado por IDG News Service, los intermediarios que representan a los propietarios del dominio wpad.cn ofrecieron venderlo a bajo precio. En una entrevista de mensaje instantáneo, un agente de Aomei New Investment Consulting dijo que el dominio podría tenerse por ¥ 12,000 (US $ 1,760).

Para los delincuentes, eso sería un buen negocio, dijo Tomasz Koperski, vicepresidente ejecutivo con FutureMind.com, que ha adquirido más de 40 dominios relacionados con wpad. Es dueño del dominio wpad.com.tw, ​​por ejemplo, que ha recibido más de 5 millones de visitas en lo que va de este mes de computadoras que buscan archivos wpad.dat, dijo a través de un mensaje instantáneo.

Los propietarios de wpad.cn probablemente donen "No sé sobre el tema WPAD", dijo Wessels. "Creo que no se dan cuenta de que reciben muchas solicitudes para este archivo de autoconfig de proxy", dijo. "Si supieran lo que tenían allí, probablemente cargarían más".