Riesgos de whitelisting con comodines en servicios de nube pública ================================================================== En complemento al documento existente sobre cloudfront.net, esta sección detalla otros dominios base utilizados por proveedores de nube que permiten la creación dinámica de subdominios por parte de millones de usuarios. Realizar whitelisting de forma amplia sobre estos sufijos (por ejemplo, *.s3.amazonaws.com o *.windows.net) implica permitir tráfico hacia contenido no verificado, incluyendo instancias activas de malware, phishing y campañas de distribución de C2. .. warning:: Dominios base de riesgo (no deben whitelistearse con *) .. list-table:: Sufijos comunes de servicios en la nube :header-rows: 1 :widths: 40 60 * - Sufijo - Proveedor o servicio * - ``cloudfront.net`` - Amazon CloudFront (CDN) * - ``s3.amazonaws.com`` - Amazon S3 (almacenamiento de objetos) * - ``s3-.amazonaws.com`` - Amazon S3 con ubicación regional * - ``storage.googleapis.com`` - Google Cloud Storage * - ``firebaseio.com`` - Google Firebase Realtime DB / Hosting * - ``appspot.com`` - Google App Engine apps * - ``blob.core.windows.net`` - Microsoft Azure Blob Storage * - ``web.core.windows.net`` - Azure Static Website Hosting * - ``azureedge.net`` - Azure CDN * - ``digitaloceanspaces.com`` - DigitalOcean Spaces * - ``cdn.digitaloceanspaces.com`` - DigitalOcean CDN endpoint * - ``github.io`` - GitHub Pages * - ``netlify.app`` - Netlify apps * - ``vercel.app`` - Vercel apps Ejemplos reales de abuso en DigitalOcean Spaces .. list-table:: Subdominios maliciosos en DigitalOcean Spaces detectados por VirusTotal :header-rows: 1 :widths: 40 50 20 * - Subdominio - Enlace a análisis VirusTotal - Familia / amenaza * - ``ben-advanced.fra1.digitaloceanspaces.com`` - `https://www.virustotal.com/gui/url/05a1932e23262fa3d2f692491f81ab23067358b731bdda3cd71c717e9327acb2 `_ - malware * - ``filekg-download-01.fra1.cdn.digitaloceanspaces.com`` - `https://www.virustotal.com/gui/url/c091d0cb5d78862ee3dc94d04cf21d57b7abfa3d341296a8881ca62b4ec6a39f `_ - SmokeLoader * - ``downcheck.nyc3.cdn.digitaloceanspaces.com`` - `https://www.virustotal.com/gui/url/2c40ac5b67be2e48b23f62da2f2f52684d973b64b3e4c57d04dd0534564030b6 `_ - Lumma Stealer Algunos subdominios pueden albergar contenido malicioso temporalmente y luego volver a un estado “limpio”. Esto puede deberse a: • Eliminación del contenido malicioso tras una denuncia • Rotación de recursos por parte de actores maliciosos • Reutilización de buckets públicos por distintos usuarios .. warning:: La existencia de falsos negativos o de análisis “limpios” posteriores no invalida la evidencia de uso malicioso. Justificar un wildcard sobre dominios como *.digitaloceanspaces.com porque “ya no está en VirusTotal” es equivalente a confiar en un atacante que simplemente borró su rastro tras ejecutar la campaña. Recomendaciones • Nunca aplicar whitelisting con * sobre ninguno de los sufijos listados. • Analizar individualmente cada subdominio que deba ser excluido del RPZ. • Automatizar validaciones con herramientas como VirusTotal, URLhaus o feeds de Threat Intelligence. • Registrar fecha y evidencia de cada excepción para futuras auditorías.