El uso indebido de los dominios pages.dev y workers.dev de Cloudflare ha experimentado un aumento significativo en 2024, según un informe reciente de la firma de ciberseguridad Fortra. Estas plataformas, diseñadas para facilitar el despliegue de páginas web y la computación sin servidor, están siendo explotadas por actores maliciosos para llevar a cabo campañas de phishing, ataques de denegación de servicio (DDoS) y otras actividades delictivas.
Cloudflare Pages: una herramienta atractiva para el phishing
Cloudflare Pages es una plataforma popular entre desarrolladores por su capacidad para alojar sitios web de forma rápida y segura en la red de entrega de contenidos (CDN) global de Cloudflare. Sin embargo, esta misma infraestructura está siendo aprovechada por cibercriminales para hospedar páginas intermedias de phishing que redirigen a víctimas a sitios maliciosos, como falsos portales de inicio de sesión de Microsoft 365.
El informe de Fortra indica que, hasta octubre de 2024, los incidentes de phishing utilizando Cloudflare Pages aumentaron un 198 %, pasando de 460 casos en 2023 a 1.370 incidentes en lo que va del año. Se proyecta que esta cifra supere los 1.600 casos para finales de 2024, lo que representaría un crecimiento interanual del 257 %. Entre las tácticas utilizadas por los atacantes destaca el envío de correos electrónicos fraudulentos con enlaces disfrazados y el uso de técnicas como el bccfoldering, que oculta a los destinatarios para evitar la detección masiva de las campañas.
Cloudflare Workers: una plataforma bajo ataque
Cloudflare Workers, la solución de computación sin servidor de la compañía, también ha sido objeto de abusos significativos. Esta plataforma, diseñada para ejecutar código en la red de borde de Cloudflare, permite a los desarrolladores optimizar aplicaciones web y automatizar tareas. No obstante, los cibercriminales la están utilizando para hospedar scripts maliciosos, realizar ataques DDoS y desplegar sitios de phishing.
Fortra señala que los incidentes de phishing en Cloudflare Workers han crecido un 104 % en 2024, aumentando de 2.447 casos en 2023 a 4.999 casos hasta la fecha. Se espera que esta cifra alcance casi los 6.000 incidentes para finales de año, un incremento del 145 % respecto al año anterior. Uno de los casos destacados en el informe es el uso de páginas de verificación humana diseñadas para emular procesos de seguridad legítimos, como los CAPTCHAs, engañando así a las víctimas para que introduzcan credenciales sensibles.
Factores que facilitan el abuso
La reputación de Cloudflare como proveedor confiable, combinada con la facilidad de uso y el acceso gratuito a sus servicios, convierte estas plataformas en objetivos atractivos para los atacantes. Además, características como el cifrado SSL/TLS automático y la funcionalidad de proxy inverso complican la detección y el bloqueo de sitios maliciosos por parte de las soluciones de seguridad.
Fortra advierte que, aunque Cloudflare implementa medidas de detección y herramientas para reportar contenido malicioso, los cibercriminales siguen encontrando formas de explotar la infraestructura antes de ser detectados.
Consejos para protegerse
Los usuarios pueden reducir su exposición al phishing siguiendo buenas prácticas de seguridad, como:
- Verificar URLs sospechosas: Asegurarse de que el dominio coincide con el sitio legítimo esperado antes de ingresar datos personales.
- Habilitar autenticación de dos factores (2FA): Esto añade una capa adicional de protección en caso de que las credenciales sean comprometidas.
- Informar actividad maliciosa: Reportar sitios fraudulentos y phishing a Cloudflare para facilitar su eliminación.
Por su parte, los desarrolladores que utilizan estas plataformas deben implementar controles de seguridad adicionales, como mantener sus dependencias actualizadas, monitorizar actividad inusual y reforzar la seguridad de sus conexiones mediante HTTPS.
Un desafío para la ciberseguridad global
El aumento del 198 % en los ataques utilizando Cloudflare Pages y del 104 % en Cloudflare Workers refleja la capacidad de los cibercriminales para aprovechar tecnologías legítimas con fines maliciosos. Este caso subraya la necesidad de colaboración entre los proveedores de servicios, los usuarios y las autoridades para frenar el uso indebido de estas plataformas y proteger el ecosistema digital.