Clasificación de Familias en PDNS-App

PDNS-App utiliza un sistema de familias de clasificación para etiquetar dominios observados o bloqueados a través de Protective DNS, RPZ, feeds externos, telemetría propia y correlación histórica.

Estas familias no representan necesariamente malware activo en tiempo real, sino el riesgo, comportamiento o contexto asociado al dominio desde el punto de vista de control DNS, prevención y análisis operacional.

A continuación se describen brevemente las familias más comunes.

Familias Generales

malware

Dominio asociado directamente a distribución de malware, payloads, infraestructura de comando y control (C2) o descargas maliciosas confirmadas.

malicious

Categoría genérica para dominios claramente maliciosos cuando no existe una familia más específica o el origen no permite mayor precisión.

suspicious

Dominio con comportamiento anómalo o indicios de riesgo, pero sin confirmación suficiente para clasificarlo como malware activo.

unknown

Dominio observado en tráfico real o feeds externos, sin información suficiente para una clasificación concluyente.

undetected

Dominio que estuvo previamente asociado a actividad maliciosa, pero que actualmente no muestra señales activas. Puede existir un retraso natural entre la remediación y la actualización de fuentes.

unwanted

Dominio no necesariamente malicioso, pero asociado a prácticas intrusivas, engañosas o no deseadas desde el punto de vista del usuario final.

Publicidad, Tracking y Monetización

adware

Dominio relacionado con software publicitario agresivo, redirecciones forzadas o instalaciones no deseadas.

adult_ads

Infraestructura publicitaria orientada a contenido adulto, afiliación engañosa o monetización agresiva. No implica necesariamente malware, pero suele aparecer en campañas de bajo control de calidad.

tracker

Dominio dedicado a seguimiento de usuarios, fingerprinting o correlación de comportamiento, más allá de analítica legítima.

telemetry

Infraestructura usada para recolección de datos, métricas o eventos. Puede ser legítima o abusiva dependiendo del contexto.

malvertising

Infraestructura publicitaria utilizada para distribuir malware, redirecciones maliciosas o exploits.

traffic_distribution

Infraestructura de Traffic Distribution Systems (TDS) utilizada para redirigir tráfico entre múltiples destinos según reglas dinámicas (geolocalización, user-agent, reputación, tiempo). Es común en campañas de malvertising, phishing y loaders.

Amenazas Específicas

phishing

Dominio diseñado para suplantar servicios legítimos con el objetivo de robar credenciales, información financiera o datos personales.

credential_phishing

Subcategoría específica de phishing enfocada exclusivamente en robo de credenciales (SSO, correo, VPN, cloud, routers, etc.). Frecuente uso de dominios lookalike y subdominios efímeros.

dga

Dominio generado algorítmicamente (Domain Generation Algorithm), típico de botnets y malware que rota dominios para evadir bloqueos.

botnet

Infraestructura asociada a redes de dispositivos comprometidos utilizados para DDoS, spam, scanning o control remoto.

badbox_botnet

Botnet asociada a dispositivos Android, TV boxes u otros IoT comprometidos de fábrica o por sideloading.

vo1d_botnet

Botnet observada principalmente en dispositivos IoT y routers, con fuerte uso de DGA y rotación de infraestructura.

RATs y Stealers

rat

Categoría general para dominios asociados a Remote Access Trojans.

netsupportmanager_rat

Infraestructura asociada al abuso de NetSupport Manager, una herramienta legítima de acceso remoto utilizada frecuentemente en campañas de phishing y compromiso inicial. Suele operar sin exploits, apoyándose en ingeniería social.

quasar_rat

Infraestructura vinculada al malware Quasar RAT, común en entornos Windows y campañas de acceso remoto persistente.

async_rat

Dominio asociado a AsyncRAT, frecuentemente usado para espionaje, robo de información y control remoto.

njrat

Infraestructura relacionada con njRAT, común en campañas oportunistas y targeting regional.

stealer

Dominios utilizados por malware especializado en robo de credenciales, cookies, wallets o información sensible.

lumma_stealer

Infraestructura específica asociada a Lumma Stealer, frecuentemente distribuido mediante malvertising y loaders.

Infraestructura y Abuso

infrastructure_abuse

Infraestructura DNS o dominios utilizados de forma abusiva pero no necesariamente maliciosa por sí misma. Incluye routers, IoT, firmware OEM, portales de administración, dominios con volúmenes masivos de subdominios sin semántica clara y servicios expuestos que generan alto ruido operacional.

high_abuse_registrar

Dominios registrados en registradores con historial recurrente de abuso, fast-flux o baja respuesta a takedowns.

cobaltstrike

Infraestructura asociada a Cobalt Strike, ya sea uso legítimo abusado o implantes maliciosos utilizados por atacantes.

tofsee

Infraestructura relacionada con el botnet Tofsee, históricamente usado para spam, proxying y distribución de malware.

servfail_attack

Dominio o patrón utilizado para provocar fallos de resolución, amplificación o degradación deliberada del servicio DNS.

Listas y Fuentes Externas

misp

Dominio importado desde una instancia MISP. La clasificación puede depender del evento, atributo o feed original.

event_related_malware

Dominio vinculado a un evento específico (campaña, incidente, operación) más que a una familia persistente.

banned

Dominio bloqueado por políticas externas o regulatorias (por ejemplo, listas de proveedores como Kaspersky).

Contenido Adulto

porn

Dominio con contenido adulto o explícito. No implica malware, pero puede ser bloqueado por política de contenido o cumplimiento.

Clasificación Visual para el Portal

Tracker

Dominios asociados a seguimiento publicitario y correlación de usuarios. No representan compromiso técnico directo.

  • Severidad UI: Verde

  • Riesgo técnico: Bajo

  • Motivo habitual de bloqueo: privacidad, cumplimiento, política interna

Telemetry

Infraestructura de recolección de métricas, eventos o uso de servicios. Puede ser legítima o excesiva dependiendo del contexto.

  • Severidad UI: Ámbar

  • Riesgo técnico: Bajo a medio

  • Motivo habitual de bloqueo: control de datos, ruido operacional

Malware (Amenazas Reales)

Dominios asociados a amenazas activas confirmadas, incluyendo malware, phishing, botnets y C2.

  • Severidad UI: Rojo

  • Riesgo técnico: Alto / Crítico

  • Motivo habitual de bloqueo: seguridad inmediata

Comparativa de Familias (Resumen)

Familia

Severidad

Riesgo

Descripción

tracker

Verde

Bajo

Seguimiento publicitario y correlación de usuarios

telemetry

Ámbar

Bajo / Medio

Recolección de métricas y eventos

malware

Rojo

Alto

Amenaza activa con impacto directo en seguridad

Plataformas de Publicidad y Seguimiento (AdTech)

Algunos dominios clasificados dentro de la familia tracker corresponden a plataformas legítimas de tecnología publicitaria (AdTech).

Ejemplos comunes incluyen GumGum, Criteo, DoubleClick, Taboola, Outbrain y Quantcast.

Estas plataformas permiten publicidad online, medición de audiencias, sincronización de identificadores y recomendación de contenidos. No se consideran malware, pero implican seguimiento del comportamiento del usuario a gran escala.

Desde el punto de vista de Protective DNS, su bloqueo responde a decisiones de privacidad, cumplimiento regulatorio o políticas internas, y no a una amenaza técnica directa.

Notas Operativas

  • Un dominio puede cambiar de familia con el tiempo.

  • PDNS-App prioriza prevención DNS sobre clasificación antivirus.

  • Las familias permiten políticas diferenciadas, reporting y análisis histórico.

  • La ausencia de una familia específica no implica seguridad, solo falta de evidencia suficiente.