Microsoft compra el millonario dominio Corp.com para evitarle problemas de seguridad a las empresas usuarias de Active Directory

Microsoft compra el millonario dominio Corp.com para evitarle problemas de seguridad a las empresas usuarias de Active Directory
10 comentarios Facebook Twitter Flipboard E-mail

El pasado mes de febrero salió a la venta el dominio 'corp.com'. Más allá de lo atractivo que podría suponer para muchas empresas contar con un dominio como ése (que remite al término 'corporation' y resulta fácil de recordar), nada podría hacer pensar que fuera un dominio diferente a cualquier otro. Y, sin embargo, corp.com era la llave que permitía controlar un agujero de seguridad potencialmente devastador para muchas empresas.

Su historia comienza en 1990, cuando Mike O'Connor crea Go-fast.net, uno de los primeros proveedores de Internet, y registra un buen puñado de dominios .com que adquirirían gran valor en los años siguientes: place.com, bar.com, pub.com, etc.

El agujero de seguridad llamada "corp.com

Uno de ellos fue -como habrás imaginado- corp.com. Pero algo hizo que O'Connor aguantara varios años sin subastar ese dominio en particular. Y ese 'algo' fue un error de diseño de Active Directory, la herramienta de Microsoft que proporciona servicios de directorio en una red LAN.

La cuestión es que, en la primeras versiones de Windows compatibles con Active Directory, la ruta por defecto de los servicios de validación dentro de una misma LAN corporativa era el dominio interno "corp.com".

Te estarás preguntando en qué medida puede representar eso un agujero de seguridad. Veamos: si un empleado de cualquiera de esas compañías intentara acceder a datos de su empresa desde fuera de la LAN (pongamos, por ejemplo, desde el Wi-Fi del aeropuerto) se estaría conectando realmente con el dominio de Internet "corp.com".

Sí, el mismo que O'Connor puso a la venta en febrero. Y el mismo que, manejado con fines maliciosos, podría aprovechar esas conexiones involuntarias para interceptar comunicaciones de las empresas afectadas y extraer toda serie de datos (emails, contraseñas, etc).

Un vistazo a…
'Sgroogled.com': cuando MICROSOFT lanzaba anuncios ANTI-GOOGLE

Nadie hace nada, y O'Connor se quita el problema de encima

Pero, ¿nadie tomó medidas? Bueno, Microsoft liberó varias actualizaciones de software que paliaban en parte el problema, pero pocas empresas aprovecharon las soluciones que dichas actualizaciones habilitaban.

Y no lo hicieron principalmente porque consideraban inasumible suprimir toda su red Active Directory al completo durante el tiempo necesario para implementar los cambios necesarios, porque ralentizaría o paralizaría aplicaciones necesarias para sus operaciones diarias.

O'Connor explicaba en febrero que veía el dominio de marras como "un vertedero de desechos químicos" y que no quería "legarlo a sus hijos y que ellos tengan que cargar con él". Y señalaba la frustración que le suponía que a "los buenos" parecía no importarle el asunto, lo que podía provocar que "corp.com" cayera en manos de cibercriminales.

Los "buenos" eran, claro, los responsables de Microsoft, quienes O'Connor esperaba que estuvieran dispuestos a pujar el dominio, cuyo precio de salida era de 1'7 millones de dólares.

Microsoft toma cartas en el asunto

Pero a Microsoft sí le importaba el problema: un año antes un estudio realizado por el experto en ciberseguridad Jeff Schmidt con fondos del Departamento de Seguridad Nacional de los EE.UU., había desvelado que más de 375.000 equipos con Windows habían intentado enviar información sensible al dominio corp.com, incluidos datos de inicio de sesión.

De modo que, dos meses más tarde, O'Connor se ha deshecho de su particular "vertedero de desechos"... tras haberlo adquirido Microsoft. Según un comunicado de la compañía (que no ha revelado el precio de adquisición),

"Para ayudar a mantener los sistemas protegidos, alentamos a nuestros clientes a adoptar ciertas buenas prácticas relativas a la seguridad cuando planifiquen nombres de dominio y de red internos.

Ya lanzamos un aviso de seguridad al respecto en junio de 2009 y [en base a este] compromiso continuo con la seguridad del cliente, también adquirimos ahora el dominio Corp.com".

Comentarios cerrados
Inicio