Investigadores de Infoblox han identificado una campaña de phishing poco habitual que aprovecha el dominio técnico de nivel superior .arpa y el mecanismo de reverse DNS lookup en IPv6 para saltarse controles de reputación de dominios y filtros de pasarela de correo. La actividad no explota una vulnerabilidad del protocolo DNS, sino debilidades en las políticas de configuración de diversos proveedores de DNS y alojamiento.
Qué es el dominio .arpa y por qué complica el filtrado de phishing
El dominio de nivel superior .arpa es un TLD reservado para funciones de infraestructura en Internet, gestionado por IANA y destinado, entre otros usos, al reverse DNS, es decir, a traducir direcciones IP en nombres de dominio mediante registros PTR. En IPv4 se utiliza la zona in-addr.arpa y en IPv6 la zona ip6.arpa, definidas en estándares como RFC 1034, RFC 1035 y RFC 3596.
En condiciones normales, las zonas in-addr.arpa e ip6.arpa solo deberían contener registros PTR y no se esperan sitios web ni contenido accesible por HTTP/HTTPS. Además, para .arpa no existe la información WHOIS típica (datos del registrante, fecha de alta, antigüedad del dominio). Esta ausencia de metadatos crea un punto ciego para muchas soluciones antispam y antifraude que dependen de la reputación de dominios, la edad del registro y la trazabilidad del titular.
Abuso de ip6.arpa: registros A en zonas de reverse DNS
Según Infoblox, los atacantes están alquilando o recibiendo delegaciones de bloques de direcciones IPv6. Cuando obtienen ese espacio de direcciones, reciben también la delegación de las zonas de reverse DNS correspondientes bajo ip6.arpa, ganando control sobre su contenido.
En lugar de limitarse a crear registros PTR, los actores maliciosos añaden registros A dentro de ip6.arpa que apuntan directamente a la infraestructura de phishing. El protocolo DNS no prohíbe explícitamente este uso, y muchos proveedores DNS no restringen el tipo de registros permitidos en zonas de reverse. Infoblox ha observado configuraciones de este tipo en clientes que utilizan, entre otros, servicios de Cloudflare y Hurricane Electric, aunque el problema puede extenderse a otros operadores.
Randomización de subdominios y uso de TDS para ocultar la campaña
Para minimizar la detección basada en listas negras, los atacantes generan de forma masiva subdominios aleatorios dentro de ip6.arpa, produciendo FQDN únicos y efímeros difíciles de rastrear. Los nombres resultantes suelen ser largas cadenas que reflejan la estructura de la dirección IPv6, por ejemplo: d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.
En los correos de phishing, estos enlaces se incrustan en imágenes, botones o banners que prometen premios, bonificaciones por encuestas o la resolución urgente de supuestos problemas de cuenta. El usuario medio no examina el hostname completo, por lo que la rareza del dominio .arpa suele pasar desapercibida.
Al hacer clic, el tráfico se redirige a un TDS (Traffic Distribution System), una plataforma de distribución que filtra las visitas según parámetros como tipo de dispositivo, IP, geolocalización, referente y signos de entornos de análisis (sandboxes, laboratorios, proxies corporativos). Solo las víctimas con mayor probabilidad de ser rentables son enviadas al sitio de phishing final; el resto ve contenidos legítimos, lo que complica la reproducción del ataque y el análisis forense.
Por qué los filtros tradicionales de reputación DNS fallan frente a .arpa
El principal beneficio para los atacantes es que los controles de reputación de dominios apenas se aplican a .arpa. Sin WHOIS, sin métricas de antigüedad y sin información del registrante, las pasarelas de correo pierden señales clave para puntuar la peligrosidad de una URL. Muchos sistemas de filtrado clasifican estas peticiones como de naturaleza puramente técnica y no las marcan como sospechosas.
A esto se suma un ciclo de vida muy corto de los hostnames maliciosos en ip6.arpa. De acuerdo con el análisis de Infoblox, cada nombre permanece activo solo unos días antes de dejar de resolverse o ser reemplazado. Esta rotación constante genera una forma de fast flux aplicada a dominios de infraestructura, reduciendo la eficacia de listas negras, firmas estáticas y análisis retrospectivo.
Técnicas complementarias: dangling CNAME y domain shadowing
La campaña identificada no se limita a .arpa. Los atacantes combinan este enfoque con dangling CNAME y domain shadowing para elevar su tasa de éxito. Un dangling CNAME se produce cuando un registro CNAME apunta a un recurso ya no controlado por el propietario legítimo. Si un tercero registra o toma control de ese destino, puede servir contenido malicioso bajo un dominio aparentemente legítimo.
El domain shadowing consiste en crear subdominios ocultos dentro de zonas DNS de organizaciones reales (administraciones públicas, universidades, telcos, medios, comercio minorista). Infoblox ha observado el uso de CNAME comprometidos de cientos de organizaciones, y algunos dominios eran explotados en más de un centenar de campañas de phishing diarias. Bloquearlos a nivel de dominio raíz impactaría el correo legítimo y la actividad normal de esas entidades, lo que dificulta sustancialmente la mitigación.
Los investigadores sitúan este patrón de actividad, al menos, desde septiembre de 2025, con una evolución constante hacia esquemas más sofisticados. Este escenario encaja con tendencias reflejadas en informes como Verizon DBIR o ENISA Threat Landscape, que señalan el phishing y el abuso de DNS como vectores clave en intrusiones empresariales.
La campaña analizada evidencia que los atacantes explotan cada vez más las zonas grises de los estándares y de la gobernanza DNS, y no solo vulnerabilidades técnicas clásicas. Para reducir el riesgo, es recomendable que las organizaciones: limiten los tipos de registros permitidos en zonas de reverse DNS; monitoricen configuraciones anómalas en ip6.arpa; apliquen inspección avanzada de URLs incluso cuando apunten a dominios de infraestructura; revisen periódicamente CNAME heredados o huérfanos; y fortalezcan la formación de usuarios en la identificación de URL inusuales. Invertir en monitorización DNS continua y en analítica de comportamiento de campañas de phishing se ha convertido en un componente esencial de cualquier estrategia de ciberseguridad moderna.
