Extorsión por Lista de Bloqueo. La estafa de UCEPROTECT RBL.
Que es una Realtime Blackhole List (RBL)?
Una RBL contiene una lista de servidores de correo, nombres de dominio y direcciones IP que están asociadas con hostings produciendo, distribuyendo o contribuyendo de cualquier forma al spam.
Las RBL son una gran herramienta en tu arsenal de seguridad. Muy parablemente las estés usando sin que lo sepas, pero todos los proveedores de correo usan RBLs para verificar que servidores e IPs están enviando SPAM u otro contenido abusivo.
Como profesionales de seguridad usualmente basamos nuestras decisiones en si un sitio, servidor o IP es malicioso en los veredictos de RBLs conocidas usando herramientas como MXToolbox, IPVoid, Talos, etc…
Pero alguna vez te has preguntado: Puedo confiar en estos veredictos? Puede alguna lista agregar mi servidor o toda mi red por equivocación o a propósito?
Porque UCEPROTECT es una estafa.
Existen múltiples reportes alrededor de la web dónde se hablan de listados indiscriminados de IPs y hasta ASNs completos por actividades maliciosas no comprobadas y otras que hasta serían imposibles.
Pago por “Delistado Express”
Una vez que UCEPROTECT te pone en su lista negra eres notificado, como en este caso de la compañía SUCURI
En este caso la IP de su servicio de WAF que sólo RECIBE peticiones de sus clientes ha sido enlistado por realizar actividad maliciosa.
Pero no hay problema los amigos de UCEPROTECT te dan dos opciones:
- Esperar 7 días a ser removido automáticamente (te van a remover igual aunque te consideren que eres un servidor malicioso)
- Pagar para un delistado inmediato. El pago es de aproximadamente $100 dólares. (POR CADA IP BLOQUEADA).
Amenazas (reales) a los usuarios y Fallas de Seguridad
Si visitas el sitio web de UCEPROTECT lo primero que encontrarás es un diseño de los 90s y nada de SSL.
Lo que si encontrarás son amenazas a quien se atreva quejarse de su magnífico servicio. Indican que no dudarán en ensuciar tu reputación y revelar tus datos personales a la mínima provocación.
Está escrito en sus políticas!:
No sólo eso, en otro de sus sitios afiliados encontrarás más fallos de seguridad como una web sin SSL, uso de un S.O. de 20 años y una versión de PHP de 17 años.
Además encontrarás… Más amenazas!!
Conclusión
Para cerrar puedes ver que el modelo de negocio de esta RBL genera “red flags” por todas partes, por eso insto a toda la comunidad de profesionales de seguridad informática a denunciar y sobre todo no usar (sobre todo no pagar) UCEPROTECT.
Es decepcionante como una empresa maliciosa pueda hacer negocio de tomar como rehenes redes enteras sin justificación pero lo más decepcionante es que los sigamos usando.
Este post ha sido una recopilación de información de otros denunciantes, sobre todo SUCURI, y que he querido llevarlo a una versión en español.
Fuentes
https://conetix.com.au/support/uceprotect-email-protection-scam/
https://www.inmotionhosting.com/support/news/uceprotect-rbl-scam/
https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html
Imagen de rawpixel.com en Freepik
Extorsión por Lista de Bloqueo. La estafa de UCEPROTECT RBL.
https://infosec.run/2023/03/28/extorsión-por-lista-de-bloqueo-la-estafa-de-uceprotect-rbl/
