Los dominios ‘pages.dev’ y ‘workers.dev’ de Cloudflare, diseñados para alojar páginas web y facilitar la computación sin servidor (serverless computing), están siendo cada vez más utilizados por ciberdelincuentes para actividades maliciosas como el phishing y otros ataques.
De acuerdo con el informe de la firma de ciberseguridad Fortra, el abuso de estos dominios ha aumentado entre un 100% y 250% en comparación con 2023. Los atacantes explotan la confiabilidad y la reputación de Cloudflare para incrementar la legitimidad y efectividad de sus campañas maliciosas.
Cloudflare Pages: De Herramienta Legitima a Plataforma para Phishing
Cloudflare Pages es una plataforma que permite a los desarrolladores frontend construir, implementar y alojar sitios web rápidos y escalables en la red global de distribución de contenido (CDN) de Cloudflare. Ofrece cifrado SSL/TLS por defecto y soporte para marcos modernos de despliegue de aplicaciones web.
Uso Malicioso de Cloudflare Pages
Fortra ha identificado un aumento del 198% en los ataques de phishing que utilizan Cloudflare Pages, pasando de 460 incidentes en 2023 a 1,370 en 2024. Se espera que esta cifra supere los 1,600 incidentes para fin de año, un incremento proyectado del 257%.
Los ciberdelincuentes utilizan Cloudflare Pages para alojar páginas intermedias que redirigen a las víctimas a sitios maliciosos, como falsas páginas de inicio de sesión de Microsoft Office365. Estas páginas suelen estar vinculadas en correos electrónicos fraudulentos o documentos PDF maliciosos que evaden detección gracias a la reputación de Cloudflare.
Una táctica clave utilizada en estas campañas es el bccfoldering, que oculta los destinatarios en los correos electrónicos, dificultando la detección de la escala de las campañas de phishing.
Legitima Versatilidad de Cloudflare Workers
Cloudflare Workers permite a los desarrolladores escribir e implementar aplicaciones y scripts livianos directamente en la red de borde de Cloudflare. Sus usos incluyen:
- Despliegue de APIs.
- Optimización de contenido.
- Automatización de tareas.
- Creación de microservicios.
Creciente Abuso de Cloudflare Workers
El informe de Fortra señala un aumento del 104% en los ataques de phishing que emplean esta plataforma, con incidentes que subieron de 2,447 en 2023 a 4,999 en 2024. Se proyecta que los incidentes totales alcanzarán casi 6,000 para fin de año, un incremento del 145%.
En algunos casos, los atacantes utilizan Cloudflare Workers para alojar pasos de verificación en procesos de phishing, simulando legitimidad para engañar a las víctimas. Además, se ha detectado su uso en ataques de denegación de servicio distribuidos (DDoS), inserción de scripts maliciosos y fuerza bruta de contraseñas.
Recomendaciones para las Empresas y Usuarios
Dado el abuso creciente de servicios confiables como Cloudflare, es fundamental adoptar medidas de protección:
- Verificar URLs: Antes de ingresar información sensible, asegúrese de que la URL sea legítima.
- Activar la autenticación en dos factores (2FA): Esto dificulta el acceso no autorizado incluso si las credenciales son comprometidas.
- Capacitar al personal: Enseñe a los empleados a identificar señales de correos electrónicos sospechosos o documentos maliciosos.
El abuso de servicios como Cloudflare Pages y Workers resalta la creatividad y persistencia de los ciberdelincuentes, subrayando la necesidad de estrategias de ciberseguridad más robustas y proactivas.
