El truco del subdominio: cómo te roban confianza sin hackear tu dominio
La mayoría piensa que si “el dominio es mío”, todo lo que cuelga de él es seguro.
Y ahí está el problema: pueden usar un subdominio legítimo de tu empresa para estafar… sin necesidad de hackear tu web principal.
¿Quieres saber si tus subdominios están expuestos?
Escríbenos “SUBDOMINIO” y te decimos qué revisar primero.
¿Cómo funciona el truco?
Los atacantes no siempre atacan tuempresa.com.
Atacan algo como:
- soporte.tuempresa.com
- facturacion.tuempresa.com
- promo.tuempresa.com
Si logran que un subdominio apunte a un servicio que ellos controlan (o a un recurso abandonado), pueden publicar páginas falsas con apariencia 100% confiable, porque:
✅ tiene tu marca
✅ tiene tu dominio
✅ pasa filtros básicos de usuarios y hasta de algunos sistemas
3 formas comunes en que pasa (sin “hackear” el dominio)
- Subdominios olvidados / servicios desactivados
Se creó un subdominio para una campaña o proveedor, se dejó de usar… pero el DNS quedó vivo.
- Tomas de control por configuración (“subdomain takeover”)
Un subdominio apunta a un recurso en la nube que ya no existe (S3, Azure, GitHub Pages, Heroku, etc.).
El atacante “reclama” ese recurso y publica lo que quiera.
- Terceros con acceso a publicación
Marketing, agencias, herramientas de landing pages o formularios: si alguien se compromete, publican dentro de tu subdominio.
Solicita una verificación rápida de DNS
y subdominios y reduce el riesgo de phishing con tu marca.
¿Qué hacen con eso?
- Phishing (captura de credenciales corporativas)
- Falsos portales de pago o facturación
- Descarga de malware “desde tu dominio”
- Suplantación de RRHH o soporte (“actualiza tu clave aquí”)
Y lo peor: cuando el usuario ve el dominio, baja la guardia.
Señales de alerta que casi nadie revisa
- Subdominios raros o recién “revividos”
- Páginas con diseño diferente al sitio oficial
- Formularios pidiendo credenciales “para validar”
- URLs largas con rutas sospechosas: /login/secure/verify
Cómo blindarte (sin complicarte)
Checklist rápido:
- Inventario real de subdominios (no solo los “conocidos”)
- Revisar DNS: CNAME/A apuntando a servicios que ya no usas
- Monitoreo de cambios DNS + alertas de subdominios nuevos
- Política de creación de subdominios (quién, cuándo, por qué)
- WAF + validaciones de seguridad en subdominios “de negocio” (soporte, pagos, RRHH)
Tip clave: si no está en uso, apágalo. Un subdominio abandonado es una puerta de confianza abierta.
Agenda una auditoría de superficie de ataque (externa)
y detecta subdominios olvidados antes que un atacante.
Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.
