Durante el fin de semana circuló en varios foros de Internet la noticia de que un dominio asociado a Wikileaks estaría propagando malware. El dominio en cuestión no es el inicial de esta organización pero sí es muy importante, ya que luego de los incidentes ocurridos durante las últimas semanas y la baja de Wikileaks.org (el dominio original), este ahora dirige a sus visitantes a Wikileaks.info, un nuevo dominio donde se aloja una copia del sitio web original, y además aparecen listados otros dominios donde hay otras copias del mismo. Luego de leer durante el fin de semana muchos sitios replicando la noticia, hemos realizado este análisis para aclarar las dudas de nuestros lectores: ¿hay malware en wikileaks.info?
Empecemos: la noticia inicial (como ya dije, luego replicada por cientos de sitios en todo el mundo) fue anunciada por una de las RBL (Real-time Blackhole List, listados de sitios web maliciosos) más populares, Spamhaus, a través de una nota de prensa titulada "Alerta sobre copia de Wikileaks". En la misma, se anunciaba que el dominio wikileaks.info había sido agregado a las listas de bloqueo oficiales del sitio web, y se detallaba más información al respecto:
El lunes Spamhaus notó que el sitio de Wikileaks, wikileaks.org, estaba enlazando el tráfico web a un sitio de terceros con una copia del mismo, wikileaks.info. Este nuevo sitio web está siendo alojando a un "barrio" muy peligroso, en el rango IP [IP ELIMINADA] de Webalta's, una red maliciosa que Spamhaus cree que está bajo el control de ciber criminales rusos.
El hecho de que algunas personas desconocidas decidieron poner una copia de Wikileaks en ese rango IP debería levantar una alarma: quién lo puso ahí y por qué. Nuestra preocupación es que los archivos alojados en dicho sitio web estén infectados por malware. [...] hay un riesgo sustancial de que infecciones de malware aparezcan a la brevedad.
Spamhaus no toma posición política sobre el incidente de Wikileaks. Nuestro interés está relacionado a prevenir el spam y otros abusos en Internet...
En el análisis del caso, nuestro primer paso fue consultar el sitio web para analizar si el mismo efectivamente contenía malware, y apenas ingresamos al mismo pudimos observar que sus administradores también pusieron una donde se titulaban como "falsas acusaciones de Spamhaus sobre wikileaks.info":
Algunos de los fragmentos de la nota de Wikileaks.info que además apoya su postura de que el sitio "está limpio" a partir de la posición de Google Safe Browsing sobre el dominio:
Encontramos muy incómodo que Spamhaus haya etiquetado como peligroso nuestro sitio sin chequear si había malware en él. Nosotros monitoreamos el sitio y podemos garantizar que no hay malware en él. No sabemos qué otros sitios hay en la misma dirección IP, y no es nuestro problema. Ellos nos dan un servicio de hosting, y eso es todo.
Aunque estamos a favor de las "listas negras", creemos que deben ser realizadas con cuidado. Listar bloques IP enteros como "maliciosos" de forma rápida puede ser fácil para los editores de estas listas, pero puede dañar a los sitios web y a los visitantes.
Prometemos que Wikileaks.info siempre será limpio y seguro.
Continuando con el análisis puntual de Wikileaks.info, no hemos encontrado malware en el sitio web. De todas formas, sí hemos comprobado que muchos dominios alojados en el mismo bloque de direcciones IP contienen, como bien indicaba la noticia original diversos dominios maliciosos, muchos de ellos bloqueados por la herramienta de filtrado HTTP de ESET NOD32 Antivirus:
La dirección IP efectivamente pertenece a Heitachi Ltd., y también hay varios otros dominios en el mismo rango IP que poseen diversas amenazas de malware:
Vale destacar, finalmente, que Spamhaus ha quitado el dominio wikileaks.info de sus listas negras.
En resumen, aunque claramente la dirección IP donde está alojado wikileaks.info no tiene la mejor reputación posible (y por ende tampoco el proveedor de hosting), no hemos encontrado pruebas concretas de que el sitio web esté alojando malware en dicho dominio. De todas formas, y aunque no hay certezas de que haya malware en el sitio web, desalentamos el uso de estos proveedores de hosting que alojan demasiadas páginas web maliciosas entre sus servidores, ya que el riesgo puede ser mayor. Ha circulado mucha información sobre este tema, y como siempre, también mucha desinformación, por eso con el ánimo de siempre, esperamos haber aclarado las dudas sobre el incidente y que quede claro, más allá de la disputa entre las partes, cuáles son los riesgos reales para el usuario.
Sebastián Bortnik
Coordinador de Awareness & Research
