Riesgos de whitelisting con comodines en servicios de nube pública

En complemento al documento existente sobre cloudfront.net, esta sección detalla otros dominios base utilizados por proveedores de nube que permiten la creación dinámica de subdominios por parte de millones de usuarios.

Realizar whitelisting de forma amplia sobre estos sufijos (por ejemplo, *.s3.amazonaws.com o *.windows.net) implica permitir tráfico hacia contenido no verificado, incluyendo instancias activas de malware, phishing y campañas de distribución de C2.

Advertencia

Dominios base de riesgo (no deben whitelistearse con *)

Sufijos comunes de servicios en la nube

Sufijo

Proveedor o servicio

cloudfront.net

Amazon CloudFront (CDN)

s3.amazonaws.com

Amazon S3 (almacenamiento de objetos)

s3-<region>.amazonaws.com

Amazon S3 con ubicación regional

storage.googleapis.com

Google Cloud Storage

firebaseio.com

Google Firebase Realtime DB / Hosting

appspot.com

Google App Engine apps

blob.core.windows.net

Microsoft Azure Blob Storage

web.core.windows.net

Azure Static Website Hosting

azureedge.net

Azure CDN

digitaloceanspaces.com

DigitalOcean Spaces

cdn.digitaloceanspaces.com

DigitalOcean CDN endpoint

github.io

GitHub Pages

netlify.app

Netlify apps

vercel.app

Vercel apps

Ejemplos reales de abuso en DigitalOcean Spaces

Subdominios maliciosos en DigitalOcean Spaces detectados por VirusTotal

Subdominio

Enlace a análisis VirusTotal

Familia / amenaza

ben-advanced.fra1.digitaloceanspaces.com

https://www.virustotal.com/gui/url/05a1932e23262fa3d2f692491f81ab23067358b731bdda3cd71c717e9327acb2

malware

filekg-download-01.fra1.cdn.digitaloceanspaces.com

https://www.virustotal.com/gui/url/c091d0cb5d78862ee3dc94d04cf21d57b7abfa3d341296a8881ca62b4ec6a39f

SmokeLoader

downcheck.nyc3.cdn.digitaloceanspaces.com

https://www.virustotal.com/gui/url/2c40ac5b67be2e48b23f62da2f2f52684d973b64b3e4c57d04dd0534564030b6

Lumma Stealer
Algunos subdominios pueden albergar contenido malicioso temporalmente y luego volver a un estado “limpio”. Esto puede deberse a:

  • Eliminación del contenido malicioso tras una denuncia

  • Rotación de recursos por parte de actores maliciosos

  • Reutilización de buckets públicos por distintos usuarios

La existencia de falsos negativos o de análisis “limpios” posteriores no invalida la evidencia de uso malicioso. Justificar un wildcard sobre dominios como *.digitaloceanspaces.com porque “ya no está en VirusTotal” es equivalente a confiar en un atacante que simplemente borró su rastro tras ejecutar la campaña.

Recomendaciones

  • Nunca aplicar whitelisting con * sobre ninguno de los sufijos listados.

  • Analizar individualmente cada subdominio que deba ser excluido del RPZ.

  • Automatizar validaciones con herramientas como VirusTotal, URLhaus o feeds de Threat Intelligence.

  • Registrar fecha y evidencia de cada excepción para futuras auditorías.