Cómo los ciberdelincuentes están abusando de los números de sistema autónomo (ASN) para el alojamiento a prueba de balas

Michael Duffy

Ciberseguridad

01 May 2025 Visitas: 13

En el panorama siempre cambiante de la ciberdelincuencia, los actores maliciosos buscan continuamente nuevas formas de ocultar sus actividades, evadir la detección y resistir los esfuerzos por acabar con ellos. Una tendencia especialmente preocupante es el abuso de los números de sistemas autónomos (ASN) para crear y mantener una infraestructura de alojamiento a prueba de balas (BPH). Aunque el alojamiento a prueba de balas no es un concepto nuevo, la explotación de ASN maliciosos o comprometidos añade un nivel preocupante de persistencia y control, lo que dificulta mucho más a los equipos de ciberseguridad y a las fuerzas del orden desmantelar las operaciones maliciosas.

¿Qué son los ASN y por qué son importantes?

Un sistema autónomo (AS) es un conjunto de prefijos IP gestionados por un único operador de red, y a cada AS se le asigna un número de sistema autónomo (ASN) único. Los ASN permiten a estos sistemas intercambiar información de enrutamiento mediante el protocolo de puerta de enlace fronteriza (BGP), que es esencial para dirigir el tráfico de Internet entre redes.

Las organizaciones legítimas, como los ISP, los proveedores de servicios en la nube y las universidades, utilizan los ASN para mantener la autonomía sobre su tráfico de red. Sin embargo, los ciberdelincuentes aprovechan cada vez más este sistema para afianzarse en la infraestructura de enrutamiento global de Internet.

La evolución del alojamiento a prueba de balas (BPH)

El alojamiento a prueba de balas se refiere a los servicios de alojamiento que permiten deliberadamente actividades ilegales como la distribución de malware, el phishing, el comando y control de botnets y el spam. Estos servicios suelen ignorar las denuncias de abuso y están diseñados para ofrecer el máximo tiempo de actividad y resiliencia, independientemente del contenido que se aloje. Tradicionalmente, los proveedores de BPH dependían de centros de datos indulgentes o jurisdicciones con una aplicación débil de la ley.

Ahora, los ciberdelincuentes están tomando una ruta más avanzada al registrar sus propios ASN o secuestrar los abandonados, lo que les permite:

Controlar directamente el espacio de direcciones IP y el enrutamiento
Desplegar y migrar rápidamente infraestructuras maliciosas
Evitar la detección y los esfuerzos de eliminación de forma más eficaz

Técnicas utilizadas por los actores maliciosos

Los ciberdelincuentes están empleando varias tácticas para abusar de los ASN con el fin de obtener un alojamiento a prueba de balas:

Registro de ASN fraudulentos

Los atacantes crean empresas ficticias y las utilizan para registrar de forma fraudulenta nuevos ASN en los Registros Regionales de Internet (RIR). Estas entidades parecen legítimas, pero se crean únicamente para facilitar la ciberdelincuencia. La vida útil de las empresas ficticias es de aproximadamente 12 meses, tras lo cual suelen disolverse debido a las obligaciones legales que no cumplirá el ciberdelincuente que ha constituido la empresa ficticia.

Secuestro de ASN inactivos

Los ASN desaparecidos o mal mantenidos son objetivos prioritarios. Los delincuentes los secuestran falsificando documentación o aprovechando sistemas de registro obsoletos.

Arrendamiento de ASN

Algunos operadores de BPH alquilan ASN a operadores de red negligentes o cómplices, lo que les proporciona una capa de negación mientras utilizan una infraestructura de apariencia legítima.

Fast-Flux BGP

Al cambiar rápidamente las rutas BGP, los ciberdelincuentes dificultan el rastreo y el cierre de su infraestructura. Esta técnica imita el método Fast-Flux DNS, pero en la capa de red.

Ejemplos del mundo real

Varios incidentes de gran repercusión ponen de relieve el creciente abuso de los ASN:

Redes de proxy residenciales: ciertos ASN vinculados a servicios de proxy han mostrado patrones de tráfico muy sospechosos y vínculos con foros de ciberdelincuencia.
A continuación se muestra un ejemplo excelente de actores maliciosos que se esconden tras capas de ISP señuelo para obstaculizar las investigaciones y eludir los procesos de verificación superficiales:
- aurologic GmbH (AS30823)
- Whitelabel Solutions Ltd (AS214497)
- Offshore LC (AS30823)
- Dolphin 1337 Ltd (AS215208)
- Silent Connection Ltd (AS215240)

AS215240 destaca como un persistente centro de abusos, que aloja activamente:

Servidores de comando y control de botnets
Infraestructura de phishing
Plataformas de ataques de fuerza bruta
Sistemas de distribución de spam
Silent Connection Ltd y Dolphon 1337 Ltd fueron disolvidas obligatoriamente en enero de 2025, pero sus redes siguen activas y operativas, y continúan facilitando la ciberdelincuencia.

Estos ASN suelen ignorar las denuncias de abuso, lo que refuerza su reputación de ser verdaderamente "a prueba de balas".

Por qué es tan difícil detenerlo

Mitigar el abuso de los ASN es un reto complejo debido a varios factores clave:

Los débiles procesos de verificación durante el registro de los ASN facilitan su adquisición por parte de los malos actores.
El modelo de gobernanza descentralizada de los recursos de Internet da lugar a una supervisión inconsistente entre las distintas regiones.
Las barreras jurisdiccionales hacen que la aplicación transfronteriza de la ley sea lenta y difícil desde el punto de vista jurídico.

Cómo combatir y mitigar

Para abordar esta cuestión se requiere una acción coordinada y en múltiples niveles:

Reforzar las políticas de registro de ASN

Los registros regionales de Internet y los proveedores ascendentes deben implementar procesos de verificación más rigurosos para verificar a los solicitantes de ASN.

Supervisar el BGP en busca de anomalías

Los equipos de seguridad deben estar atentos a los anuncios de rutas BGP y señalar cualquier cambio inusual relacionado con ASN maliciosos conocidos.

Colaborar entre sectores

Una mejor colaboración entre los ISP, los registros y las fuerzas del orden puede ayudar a descubrir y cerrar las redes BPH.

Mantener la inteligencia sobre amenazas y las listas de denegación

Las organizaciones de seguridad deben mantener y compartir listas de denegación de ASN vinculadas a la ciberdelincuencia, de forma muy similar a las listas de bloqueo de dominios o IP tradicionales.

Conclusión

El uso indebido de los ASN para el alojamiento a prueba de balas es un claro recordatorio de que incluso la infraestructura central de Internet puede convertirse en un arma. A medida que los atacantes aprovechan las lagunas de los sistemas técnicos y los marcos normativos, la comunidad de ciberseguridad debe dar un paso al frente e intensificar sus esfuerzos con una detección más inteligente, controles más estrictos y una mejor coordinación global.

Hay mucho en juego.

Proteger la integridad de Internet significa cerrar las lagunas que permiten prosperar a las ASN maliciosas.

Michael Duffy

CEO, Excedo Networks AB

Michael Duffy is the CEO & CISO of Excedo Networks and has been working in the IT and cybersecurity industry for more than 30 years. One of the foremost experts in his field, Michael's goal is to make the internet a safer place for individuals and businesses. Through Excedo, he has worked with major Swedish government entities to ensure they are fully protected in the constantly evolving world of cyberattacks.

Dirección corporativa

Jan Stenbecks torg 17
164 40 KISTA
SUECIA

+46-8-50161200

Soluciones digitales premium

Cómo los ciberdelincuentes están abusando de los números de sistema autónomo (ASN) para el alojamiento a prueba de balas

Dirección corporativa

Enlaces rápidos

Recursos

Sobre Nosotros

Contáctenos en