Por Redacción - 5 Septiembre 2025
Un reciente informe, el 2025 DNS Threat Landscape Report de Infoblox, revela una escalada dramática en la sofisticación de las amenazas que abusan de este protocolo, una tendencia que subraya la necesidad de una reevaluación fundamental de las estrategias de defensa. El estudio, construido sobre el análisis de más de 70.000 millones de consultas DNS diarias, desvela un incremento alarmante en la actividad maliciosa, donde el uso de la inteligencia artificial y las tecnologías de publicidad en línea (Adtech) se ha convertido en una táctica prevalente para eludir la detección.
El informe pinta un cuadro sombrío de la situación actual. De los más de 100 millones de nuevos dominios observados en los últimos doce meses, una cifra significativa, el 25.1%, fue clasificado como malicioso o sospechoso. Esta estadística no solo ilustra la escala del problema, sino que también pone de manifiesto la velocidad a la que los atacantes pueden generar y desplegar infraestructura dañina. Una de las conclusiones más inquietantes es la concentración de amenazas, con el 95% de los dominios vinculados a actividades peligrosas observados en la infraestructura de una única organización. Este fenómeno no solo demuestra la naturaleza dirigida y personalizada de muchos ataques, sino que también subraya una infravaloración sistémica de los desafíos que enfrenta el sector de la ciberseguridad para detectar y neutralizar estas amenazas de forma colectiva.
Los ciberdelincuentes están perfeccionando sus métodos con una agudeza notable. El 82% de las organizaciones bajo observación lanzaron peticiones DNS a dominios asociados con Adtech maliciosas, un sector que se presta a una alta rotación de dominios para camuflar la distribución de contenido dañino. Los sistemas de distribución de tráfico (TDS), que redirigen a los usuarios a sitios maliciosos, se han convertido en una herramienta fundamental en el arsenal de los atacantes. Infoblox ha identificado casi 500.000 dominios TDS en los últimos 12 meses, lo que confirma su uso generalizado para ocultar amenazas y engañar a los usuarios. La directora de Infoblox Threat Intel, Renée Burton, señala que los actores maliciosos no solo registran grandes volúmenes de nuevos dominios, sino que también aprovechan configuraciones incorrectas del DNS para secuestrar dominios existentes y suplantar la identidad de organizaciones de alta reputación, una táctica que requiere una vigilancia constante por parte de los equipos de seguridad.
La estrategia de los atacantes se basa en la velocidad y el volumen, buscando abrumar las defensas tradicionales. Al generar continuamente nuevos dominios para sus campañas, desde la creación de sitios de phishing hasta la distribución de malware, los ciberdelincuentes están invalidando el enfoque forense reactivo conocido como "paciente cero". Este método, que históricamente se ha centrado en el análisis de malware después de un incidente, resulta ineficaz cuando los atacantes operan con infraestructura de un solo uso. Una vez que un dominio es detectado y bloqueado, simplemente lo descartan y activan uno nuevo. Esta agilidad es la razón por la que las organizaciones permanecen vulnerables y los ataques pueden propagarse sin ser detectados a tiempo.
En este contexto de adversarios cada vez más sofisticados, la seguridad preventiva se presenta como el único camino viable. El informe destaca la urgencia de adoptar una postura proactiva, que anticipe los movimientos de los atacantes en lugar de reaccionar a ellos. La inteligencia predictiva sobre amenazas, que utiliza la información sobre dominios maliciosos antes de que se activen, se ha demostrado como una defensa eficaz.
