Cómo $300 salvaron a MasterCard del desastre: la historia de un error de DNS
Un símbolo incorrecto podría cambiar el destino de millones de transacciones.
La empresa MasterCard corrigió un error crítico en la configuración de su servidor de nombres de dominio (DNS) que permitía a cualquiera interceptar o redirigir el tráfico de Internet de la compañía registrando un dominio no utilizado. Este error existió durante casi cinco años y fue solucionado gracias a los esfuerzos de un investigador independiente de seguridad que gastó 300 dólares en registrar el dominio para evitar que fuera utilizado por ciberdelincuentes.
Desde el 30 de junio de 2020 hasta el 14 de enero de 2025, uno de los servidores DNS clave de MasterCard, utilizado para gestionar el tráfico de una parte de la red «mastercard[.]com», estaba configurado incorrectamente. En lugar del nombre correcto del servidor, que terminaba en «akam.net», se usaba un nombre con un error tipográfico —«akam.ne», perteneciente al dominio de nivel superior del país Níger en África Occidental.
El error fue descubierto por Philippe Katoreli, fundador de la empresa Seralys, que se dedica a la seguridad. Al suponer que el dominio «akam.ne» no estaba registrado, el investigador decidió adquirirlo. El proceso de registro tomó casi tres meses y requirió el pago de una tarifa de registro. Después de configurar el servidor DNS en el nuevo dominio, Katoreli notó cientos de miles de solicitudes de todo el mundo, la mayoría relacionadas con MasterCard.
Katoreli señaló que podría haber abusado de la situación, por ejemplo, obteniendo certificados de cifrado SSL/TLS para sitios web falsos o interceptando credenciales de los empleados de MasterCard. Sin embargo, el investigador informó a la compañía sobre el error y ofreció transferirles el dominio. MasterCard reconoció el problema y corrigió la configuración, declarando, no obstante, que no existía riesgo para el sistema.
Sin embargo, más tarde, MasterCard contactó con Katoreli a través de la plataforma Bugcrowd, acusándolo de violar las normas éticas de seguridad por publicar información sobre el problema en LinkedIn. El investigador señaló que no usó Bugcrowd para informar sobre el problema y eliminó los riesgos potenciales registrando el dominio con anticipación.
Katoreli destacó que el error podría haber afectado la seguridad, ya que los resolutores públicos de DNS, como Google o Cloudflare, pueden almacenar en caché datos incorrectos. Los atacantes podrían haber redirigido una parte significativa del tráfico si hubieran explotado esta vulnerabilidad.
Katoreli concluyó su publicación en LinkedIn con las palabras: «No sean como MasterCard. No ignoren los riesgos y no permitan que los equipos de marketing se encarguen de cuestiones de seguridad».