Clasificación de Familias en PDNS-App ===================================== PDNS-App utiliza un sistema de **familias de clasificación** para etiquetar dominios observados o bloqueados a través de **Protective DNS**, **RPZ**, feeds externos, telemetría propia y correlación histórica. Estas familias **no representan necesariamente malware activo en tiempo real**, sino el **riesgo, comportamiento o contexto** asociado al dominio desde el punto de vista de **control DNS**, **prevención** y **análisis operacional**. A continuación se describen brevemente las familias más comunes. Familias Generales ------------------ malware Dominio asociado directamente a distribución de malware, payloads, infraestructura de comando y control (C2) o descargas maliciosas confirmadas. malicious Categoría genérica para dominios claramente maliciosos cuando no existe una familia más específica o el origen no permite mayor precisión. suspicious Dominio con comportamiento anómalo o indicios de riesgo, pero sin confirmación suficiente para clasificarlo como malware activo. unknown Dominio observado en tráfico real o feeds externos, sin información suficiente para una clasificación concluyente. undetected Dominio que estuvo previamente asociado a actividad maliciosa, pero que actualmente **no muestra señales activas**. Puede existir un retraso natural entre la remediación y la actualización de fuentes. unwanted Dominio no necesariamente malicioso, pero asociado a prácticas intrusivas, engañosas o no deseadas desde el punto de vista del usuario final. Publicidad, Tracking y Monetización ----------------------------------- adware Dominio relacionado con software publicitario agresivo, redirecciones forzadas o instalaciones no deseadas. adult_ads Infraestructura publicitaria orientada a contenido adulto, afiliación engañosa o monetización agresiva. No implica necesariamente malware, pero suele aparecer en campañas de bajo control de calidad. tracker Dominio dedicado a seguimiento de usuarios, fingerprinting o correlación de comportamiento, más allá de analítica legítima. telemetry Infraestructura usada para recolección de datos, métricas o eventos. Puede ser legítima o abusiva dependiendo del contexto. malvertising Infraestructura publicitaria utilizada para distribuir malware, redirecciones maliciosas o exploits. traffic_distribution Infraestructura de **Traffic Distribution Systems (TDS)** utilizada para redirigir tráfico entre múltiples destinos según reglas dinámicas (geolocalización, user-agent, reputación, tiempo). Es común en campañas de malvertising, phishing y loaders. Amenazas Específicas -------------------- phishing Dominio diseñado para suplantar servicios legítimos con el objetivo de robar credenciales, información financiera o datos personales. credential_phishing Subcategoría específica de phishing enfocada exclusivamente en **robo de credenciales** (SSO, correo, VPN, cloud, routers, etc.). Frecuente uso de dominios lookalike y subdominios efímeros. dga Dominio generado algorítmicamente (Domain Generation Algorithm), típico de botnets y malware que rota dominios para evadir bloqueos. botnet Infraestructura asociada a redes de dispositivos comprometidos utilizados para DDoS, spam, scanning o control remoto. badbox_botnet Botnet asociada a dispositivos Android, TV boxes u otros IoT comprometidos de fábrica o por sideloading. vo1d_botnet Botnet observada principalmente en dispositivos IoT y routers, con fuerte uso de DGA y rotación de infraestructura. RATs y Stealers --------------- rat Categoría general para dominios asociados a Remote Access Trojans. netsupportmanager_rat Infraestructura asociada al abuso de **NetSupport Manager**, una herramienta legítima de acceso remoto utilizada frecuentemente en campañas de phishing y compromiso inicial. Suele operar sin exploits, apoyándose en ingeniería social. quasar_rat Infraestructura vinculada al malware Quasar RAT, común en entornos Windows y campañas de acceso remoto persistente. async_rat Dominio asociado a AsyncRAT, frecuentemente usado para espionaje, robo de información y control remoto. njrat Infraestructura relacionada con njRAT, común en campañas oportunistas y targeting regional. stealer Dominios utilizados por malware especializado en robo de credenciales, cookies, wallets o información sensible. lumma_stealer Infraestructura específica asociada a Lumma Stealer, frecuentemente distribuido mediante malvertising y loaders. Infraestructura y Abuso ----------------------- infrastructure_abuse Infraestructura DNS o dominios utilizados de forma abusiva pero no necesariamente maliciosa por sí misma. Incluye routers, IoT, firmware OEM, portales de administración, dominios con **volúmenes masivos de subdominios sin semántica clara** y servicios expuestos que generan alto ruido operacional. high_abuse_registrar Dominios registrados en registradores con historial recurrente de abuso, fast-flux o baja respuesta a takedowns. cobaltstrike Infraestructura asociada a Cobalt Strike, ya sea uso legítimo abusado o implantes maliciosos utilizados por atacantes. tofsee Infraestructura relacionada con el botnet Tofsee, históricamente usado para spam, proxying y distribución de malware. servfail_attack Dominio o patrón utilizado para provocar fallos de resolución, amplificación o degradación deliberada del servicio DNS. Listas y Fuentes Externas ------------------------- misp Dominio importado desde una instancia MISP. La clasificación puede depender del evento, atributo o feed original. event_related_malware Dominio vinculado a un evento específico (campaña, incidente, operación) más que a una familia persistente. banned Dominio bloqueado por políticas externas o regulatorias (por ejemplo, listas de proveedores como Kaspersky). Contenido Adulto ---------------- porn Dominio con contenido adulto o explícito. No implica malware, pero puede ser bloqueado por política de contenido o cumplimiento. Clasificación Visual para el Portal ----------------------------------- Tracker ~~~~~~~ Dominios asociados a **seguimiento publicitario y correlación de usuarios**. No representan compromiso técnico directo. - Severidad UI: **Verde** - Riesgo técnico: Bajo - Motivo habitual de bloqueo: privacidad, cumplimiento, política interna Telemetry ~~~~~~~~~ Infraestructura de **recolección de métricas, eventos o uso de servicios**. Puede ser legítima o excesiva dependiendo del contexto. - Severidad UI: **Ámbar** - Riesgo técnico: Bajo a medio - Motivo habitual de bloqueo: control de datos, ruido operacional Malware (Amenazas Reales) ~~~~~~~~~~~~~~~~~~~~~~~~~ Dominios asociados a **amenazas activas confirmadas**, incluyendo malware, phishing, botnets y C2. - Severidad UI: **Rojo** - Riesgo técnico: Alto / Crítico - Motivo habitual de bloqueo: seguridad inmediata Comparativa de Familias (Resumen) --------------------------------- .. list-table:: :header-rows: 1 :widths: 20 15 15 35 * - Familia - Severidad - Riesgo - Descripción * - ``tracker`` - Verde - Bajo - Seguimiento publicitario y correlación de usuarios * - ``telemetry`` - Ámbar - Bajo / Medio - Recolección de métricas y eventos * - ``malware`` - Rojo - Alto - Amenaza activa con impacto directo en seguridad Plataformas de Publicidad y Seguimiento (AdTech) ------------------------------------------------ Algunos dominios clasificados dentro de la familia ``tracker`` corresponden a plataformas legítimas de tecnología publicitaria (AdTech). Ejemplos comunes incluyen GumGum, Criteo, DoubleClick, Taboola, Outbrain y Quantcast. Estas plataformas permiten publicidad online, medición de audiencias, sincronización de identificadores y recomendación de contenidos. No se consideran malware, pero implican seguimiento del comportamiento del usuario a gran escala. Desde el punto de vista de Protective DNS, su bloqueo responde a decisiones de privacidad, cumplimiento regulatorio o políticas internas, y no a una amenaza técnica directa. Notas Operativas ---------------- - Un dominio puede **cambiar de familia con el tiempo**. - PDNS-App prioriza **prevención DNS** sobre clasificación antivirus. - Las familias permiten **políticas diferenciadas**, reporting y análisis histórico. - La ausencia de una familia específica **no implica seguridad**, solo falta de evidencia suficiente.