INFRAESTRUCTURA DE CORREO SOSPECHOSA: ANÁLISIS DNS PROFESIONAL PASO A PASO

La infraestructura de correo sospechosa analizada en este informe demuestra cómo un simple subdominio puede activar una investigación técnica profunda y eficaz. En este análisis descubrirás cómo interpretar registros DNS, SPF, MX, DKIM y resultados de escaneo para proteger tu entorno digital de forma segura y estructurada.

Contexto del análisis: ¿cómo empezó todo?

Todo comenzó con la detección de un subdominio inusual: cprtd.sb0024.hravy.biz.ua. A simple vista no mostraba información pública relevante. Sin embargo, al aplicar un método ordenado y probado, fue posible identificar una cadena técnica significativa.

Dato clave: En ciberseguridad, el detalle marca la diferencia. Un pequeño indicador puede revelar una arquitectura completa.

Pero... ¿qué encontramos realmente? Veamos paso a paso.

Resolución DNS: el primer indicador clave

El primer paso fue ejecutar una consulta DNS. El resultado mostró que el dominio no resolvía directamente a una IP, sino que apuntaba mediante CNAME a mail._domainkey.pociv.site.

bash

$ dig cprtd.sb0024.hravy.biz.ua ;cprtd.sb0024.hravy.biz.ua. IN A cprtd.sb0024.hravy.biz.ua. 3600 IN CNAME mail._domainkey.pociv.site.

Aquí aparece el primer elemento estratégico: "_domainkey" está relacionado con DKIM (DomainKeys Identified Mail), un mecanismo certificado que permite firmar correos electrónicos y verificar su autenticidad.

Esto cambia completamente el enfoque. Ya no estamos ante un dominio web típico, sino ante una infraestructura claramente orientada a correo electrónico.

Resolución del dominio base

Al consultar el dominio base pociv.site se obtuvo una IP pública: 89.33.247.108, con un TTL de 60 segundos.

bash

$ dig pociv.site pociv.site. 60 IN A 89.33.247.108

Un TTL bajo puede indicar infraestructura dinámica. No es una prueba directa de actividad maliciosa, pero sí un indicador técnico que conviene analizar con atención.

Infraestructura de correo: registros MX y SPF

El siguiente paso fue revisar los registros de correo. Y aquí los resultados fueron reveladores.

Registro MX: confirmación de correo activo

El dominio dispone de registro MX apuntando a mail.pociv.site:

bash

$ dig MX pociv.site pociv.site. 3600 IN MX 10 mail.pociv.site.

Esto confirma que existe configuración activa para recepción de correo electrónico.

Registro SPF: política restrictiva

Además, el registro TXT muestra una política SPF estricta:

bash

$ dig TXT pociv.site pociv.site. 3600 IN TXT "v=spf1 ip4:89.33.247.108 -all"

¿Qué significa esto? Únicamente esa IP está autorizada para enviar correos en nombre del dominio. El uso de "-all" indica una política firme y controlada.

Este punto es importante: la infraestructura está diseñada específicamente para operaciones de correo. No parece un simple dominio estático.

¿Y el registro DMARC? El gran ausente

Consulta realizada: _dmarc.pociv.site → NXDOMAIN (no existe).

Esto es una bandera amarilla importante. Aunque el dominio protege contra suplantación vía SPF, el hecho de que no tenga DMARC sugiere que el operador no está interesado en monitorizar intentos de spoofing. Un comportamiento común en infraestructuras desechables.

<hr>

Análisis de red: ¿qué servicios están expuestos?

El siguiente paso fue identificar el proveedor de red. El WHOIS reveló que la IP pertenece a un proveedor en Rumanía (AS49468), asociado a servicios de hosting tipo VPS.

Este tipo de infraestructura puede utilizarse tanto para proyectos legítimos como para campañas automatizadas de correo.

Escaneo de puertos: resultados sorprendentes

Se realizó un escaneo con Nmap:

bash

$ nmap -p- 89.33.247.108

El resultado fue claro: 1000 puertos filtrados, sin servicios visibles públicamente.

Posteriormente se probó conexión directa al puerto 25 (SMTP):

bash

$ telnet 89.33.247.108 25 Connection refused

¿Qué indica esto? El servidor no acepta conexiones públicas desde el origen analizado. Puede tratarse de:

• Firewall restrictivo

• Servidor configurado solo para envío saliente

• Filtrado por IP (whitelisting)

En cualquier caso, la exposición pública es mínima. ¿Eso lo hace más seguro o más sospechoso? Depende del contexto.

Evaluación profesional del riesgo

A partir de la evidencia obtenida, se identifican los siguientes elementos técnicos:

• Dominio orientado a correo electrónico

• SPF estricto y configuración DKIM estructurada

• Hosting VPS en proveedor europeo

• Servicios no expuestos públicamente

Veredicto técnico

IndicadorNivel de certezaInfraestructura de correo✅ ConfirmadoConfiguración técnica profesional✅ AltaActividad maliciosa directa⚠️ Sin evidenciaPatrón compatible con mailing automatizado🔍 Sospecha

No existe evidencia directa de malware, phishing activo o servidor de comando y control.

Sin embargo, el patrón técnico es compatible con infraestructura de mailing automatizada.

Y aquí aparece el punto clave: el contexto lo es todo.

Si este dominio apareció en un correo sospechoso, en registros de firewall o en alertas de SIEM, el nivel de riesgo cambia completamente. Sin contexto, la clasificación definitiva no es posible.

Lecciones estratégicas para analistas

Este caso demuestra cómo un análisis ordenado permite transformar una sospecha en información estructurada y útil.

La clave no es reaccionar con alarma, sino investigar con método.

Checklist práctica para futuras investigaciones:

• Verificar CNAME y registros A

• Analizar registros MX y SPF

• Consultar DMARC (_dmarc.dominio.com)

• Revisar exposición de puertos con Nmap

• Consultar WHOIS y ASN del proveedor

• Buscar reputación en listas negras (DNSBL)

• Evaluar siempre el contexto del incidente

Aplicar este proceso fortalece la capacidad técnica y mejora la respuesta ante posibles amenazas.

Preguntas frecuentes (FAQ)

¿Qué es DKIM y por qué es importante?

DKIM (DomainKeys Identified Mail) es un método de autenticación que permite firmar digitalmente los correos. Cuando aparece "_domainkey" en un subdominio, indica que la infraestructura está preparada para enviar correo firmado y verificable.

¿Un TTL bajo es siempre sospechoso?

No necesariamente. Un TTL de 60 segundos puede indicar infraestructura dinámica o servicios que cambian rápidamente de IP. Es común en servicios de mailing legítimos, pero también en infraestructuras maliciosas que buscan evadir bloqueos.

¿Qué significa "-all" en un registro SPF?

Significa que solo los servidores listados explícitamente pueden enviar correo en nombre del dominio. Cualquier otro servidor que intente enviar correo con ese dominio será rechazado. Es la política más restrictiva y segura.

¿Debo bloquear esta IP en mi red?

Depende del contexto. Si apareció en un correo no solicitado o en un intento de conexión sospechosa, sí, merece ser bloqueada preventivamente. Si solo apareció en un análisis proactivo, monitoriza pero no actúes sin más evidencia.

Conclusión: información estructurada, decisión informada

Una infraestructura de correo sospechosa no siempre implica una amenaza activa. Sin embargo, aplicar un análisis profesional, estratégico y bien documentado permite proteger sistemas y tomar decisiones informadas.

La seguridad digital no se basa en suposiciones, sino en evidencia.