Así me han robado mi dominio en Godaddy

Soy Mónica, webmaster de www.guiadejardin.com y este fin de semana he tenido que vivir la experiencia de ver cómo te roban el nombre de dominio de tu web, una situación muy poco agradable que, sobre todo, me ha hecho darme cuenta de la nula seguridad que nos ofrece el servidor de dominios con quien yo contraté.

Alguien consiguió apropiarse de la cuenta Godaddy en la que alojamos nuestros dominios web, entre ellos la de Guía de Jardín. No nos enteramos hasta que recibimos un email de nuestro proveedor indicándonos que nuestro dominio quedaba transferido. Imaginaos la perplejidad con que recibimos la noticia. Inmediatamente nos pusimos en contacto telefónico para aclarar la situación, ya que en el mensaje que nos enviaron indicaban claramente que si pensábamos que era un error contactáramos con ellos.

Al habla por teléfono, el operador de Godaddy nos comentó que había sido una petición realizada desde la web con nuestro usuario y contraseña. ¡No dábamos crédito! Recordamos perfectamente que la última renovación la hicimos por dos años para no tener que preocuparnos más hasta 2017. Sin duda alguien había usurpado nuestra información, pero ¿cómo? De inmediato pensamos en la posibilidad de que nos hubieran hecho phishing, algo que siempre habíamos temido en nuestras cuentas bancarias pero jamás pensamos que intentaran en un dominio web.

No es sencillo probar que te han robado un dominio. Yo no tengo acceso a las direcciones ip desde las que se realizaron estas operaciones informáticas, cosa que facilitaría mucho el trabajo y cuyo seguimiento puede ser mucho más sencillo para los técnicos de Godaddy. Espero y confío que se empleen a fondo, pero mientras yo he realizado mis investigaciones para llegar a la evidencia.

Para comenzar y sospechando que todo empezó con un ataque de phishing revisamos todos los correos con Godaddy, todos, uno por uno. ¿Qué buscamos en concreto? Un correo que nos pida información y nos brinde un enlace por donde entrar a la web de Goddady. Meticulosamente los revisamos todos..., y dimos con él. (click para agrandar la imagen)



Cuando accedes a ese enlace se abre la pantalla de inicio de sesión de Godaddy. La suya, del servidor de Godaddy. Lo he podido comprobar tecleando datos incorrectos desde la página principal de Godaddy, te envía esta misma pantalla con otros parámetros.






Pero es esta otra la que recoge los datos que tecleas. Una web que parece inocua pero tras la que hay un script esperando tus datos.



Abriendo los detalles del correo hemos podido comprobar que la dirección desde donde se envió este correo no es de Godaddy, sino una simple suplantación de identidad. No es algo obvio, que se vea a simple vista y no lo vimos en su día para nuestra desgracia.

Debo hacer notar, además, que esta vez abrimos el mensaje desde Mozilla Thunderbird, en lugar de hacerlo desde Chrome. ¿La diferencia? Mozilla Thunderbird nos avisa en rojo que el correo puede ser "scam", una estafa. Un punto a favor de Mozilla, me ha ganado como usuario para los restos.



Lo que muestra esta imagen son los datos que lleva un email en la cabecera cuando se envía un mensaje. Básicamente debe llevar un emisor (FROM) y un receptor (RECIPIENT), en este caso una cuenta de Godaddy y la nuestra. Pero si os fijáis, en la primera línea aparece un RETURN-PATH, otra dirección de correo que se añade a los mensajes cuando la dirección real de envío no coincide con la que se indica en el FROM. ¿Y esto cómo puede ser? Evidentemente los gestores de correo electrónico que utilizamos habitualemente (outlook, yahoo, gmail, etc) no permiten que la dirección real de envío y la que figura en el FROM sean diferentes, pero mediante programas informáticos esto se puede hacer.

¿Queda duda de que ha habido fishing? Sólo falta indagar en la dirección de correo del RETURN-PATH (y que he tapado adrede) para saber de donde vienen. Por la extensión del dominio ( .ru) y consultando wikipedia, de Rusia. ¡Oh, casualidad! ¡Como el nuevo registrador de mi dominio robado!

Tras esto es fácil comprender lo que sucedió. Alguien ya tenía nuestra clave de acceso, bastaba entrar como si fuéramos nosotros y manipular todo traspasando el dominio a su nombre en otro registrador.

Y yo me pregunto ¿porqué Godaddy no envió el email de confirmación prometido en las clausulas del contrato? ¿Cómo se atrevió a transferir mi dominio sin que yo confirmara que deseaba hacerlo? Si tienes un dominio alojado en Godaddy puedes comprobar que se comprometen a hacerlo (en la siguiente imagen puedes verlo), pero yo todavía estoy esperando una explicación de qué ocurrió.



Godaddy, es quien puede y debe consultar direcciones ips para comprobar si estoy o no en lo cierto y dar explicaciones de todos los agujeros que hay en su sistema de seguridad. El asunto es muy grave.

Pero observamos más cosas. Cuando www.guiadejardin.com era mi propiedad, yo lo tenía redireccionado a www.casaxjardin.blogspot.com, un blog de Blogger. Observando el contenido que el ladrón ha colocado en www.guiadejardín.com se aprecia que es una copia íntegra del mío donde sólo ha cambiado la foto de la cabecera y el correo al pie del post. ¿Otra casualidad? A mi los indicios de robo me parecen más bien evidencias.

Desde hace 5 años Guía de Jardín es mi identidad en la web, tanto en el blog como en las redes sociales: facebook, twitter, pinterest, instagram, blogloving. El dominio estaba registrado en Godaddy hasta 2017 y jamás se me pasó por la cabeza venderlo.

Como solución temporal mi blog se puede seguir visitando en la dirección de hosting de Blogger y allí seguiré escribiendo para mis mis seguidores y contestando a sus comentarios. He solicitado a Google que elimine temporalemente mi información de los resultados de búsqueda y sigo esperando a que Godaddy solucione este terrible problema de seguridad en general y revierta el mío en particular.

Seguiré informando sobre las actuaciones y el día que se resuelva publicaré todo lo acontencido. Sé que hay quien dudará de mi razonamiento, es posible que algo se me escape, pero si podéis ayudarme os quedaré eternamente agradecida. Cualquier sugerencia o difusión de esta información no sólo me ayuda a mi, sino a cientos de usuarios que sufren el phishing a diario.

Lamento profundamente tu error, pero sinceramente creo que tu proveedor no tiene la culpa aquí. Si tu has cedido tus contraseñas a terceros, ellos no tienen la culpa.

Y seguramente no te ha llegado el correo de confirmación de la transferencia porque quien entró en tu cuenta cambió el correo electrónico del contacto administrativo. Por eso nunca te notificaron nada.

Cuando haces click en el link encubierto, y en el caso de phishing que has presentado, saldría una pantalla idéntica a la de accesos de Godaddy, pero alojada en BlueHost.
Porqué no sale ya? Porque ya ha sido borrada. Una vez el hacker tiene la información que necesita, borra su página de phising para no dar pistas.

BlueHost es un hosting de Hackers?. No tiene porqué. BlueHost puede haber sido una web pirateada donde ha alojado el hacker su página de toma de datos (la calcada a la de godaddy en este ejemplo). Una vez terminado su robo de información, desaparece la página porque el hacker aun tiene acceso al sitio pirateado.

La pantalla de BlueHost que muestras creo que sale porque, a día de hoy, ya no existe la pantalla copia de la de godaddy (la de acceder con usuario y password).

Gracias, guiadejardin, por tu enseñanza; y muchisima suerte con tu blog.

Por lo que dice guiadejardin, lo que ha recibido en su correo (no ha habido cambios de direcciones de correo) es un correo de INFORMACION, no de CONFIRMACION.

Y en el caso que planteas ¿Cómo puede godaddy cambiar el correo electrónico del contacto de una cuenta sin enviar correo de confirmación?¿Has leído el compromiso de Godaddy a enviarlo en ese caso?. No es un error, es un incumplimiento de contrato.

Es que para hacer un cambio del contacto administrativo de un dominio no es necesario pedir confirmación. La normativa de ICANN no lo estipula así.

La confirmación solo es necesaria para la transferencia y se envia al contacto administrativo, si el contacto es alterado antes se enviará al nuevo contacto administrativo.

Francisco, te cuento la secuencia de avisos por email que me llegaron de Godaddy y pude ver a primera hora de la mañana:

------------------------------------------
23:44 h

Tu información de contacto de dominio se ha actualizado.
Se han iniciado los cambios en la información del registrante o del contacto administrativo para el/los dominio(s) siguiente(s):

GUIADEJARDIN.COM

Si los cambios se realizaron sin autorización, llama al 902 84 8104.

Si los cambios se realizaron sin autorización, ponte en contacto con [email protected].

---------------------------------------

23:45 h

Notificación de estado de dominio
Esta notificación se genera de manera automática como servicio para ti.

Hemos recibido una solicitud de cambiar el estado a:

Unlocked

para el/los siguiente(s) nombre(s) de dominio:

GUIADEJARDIN.COM

Si estás supervisando este nombre con Pedidos pendientes de dominios, el cambio mencionado anteriormente también se muestra en la sección "Supervisión y pedidos pendientes" de tu Administrador de cuenta.
Supervisión del nombre de dominio / pedidos pendientes


No es necesario que respondas a este correo electrónico. Sin embargo, si crees que este cambio puede haberse efectuado por error o fraudulentamente, contáctanos en un plazo de 15 días.

Si deseas abordar este asunto, o si por algún motivo necesitas ayuda o asistencia técnica adicional, llama Soporte 24/7 al 902 84 8104. ¡Apreciamos tu preferencia!

-----------------------------------

A las 11:45 de la noche me dicen que cambia la información de contacto para que yo avise si sospecho que es fraudulenta, pero a las 11:45 procesan la orden de desbloqueo el dominio. ¿Como se digiere eso? No dan margen de reacción, para cuando yo puedo avisar que yo no he sido ya han vendido mi dominio. Cosa que completaron justo a las 8:40 de la mañana.

------------------------------------

Confirmación de la cancelación de artículo
Los siguientes productos han sido eliminados de tu cuenta de 45044891 :

.COM Domain Name Registration - 2 Years (recurring): GUIADEJARDIN.COM

Si crees que esta acción ha ocurrido por error o necesitas más asistencia:

• Visita: GoDaddy Asistencia técnica
• Teléfono: 902 84 8104

Revisa tu cuenta ahora para comprobar tu historial completo de facturación y administrar tus preferencias de renovación.

Gracias de nuevo por ser cliente de GoDaddy.

------------------------------------

El contacto seguía siendo yo y me iban informando sin esperar respuesta de nada

Franciscomarin, dos cosas:

1.- Si la normativa fuera así ¿Como puede no deber confirmarse una información (cambio de contacto) si esa información es la que se usa para confirmar otras otras operaciones (transferencia de dominio)?

2.- Vuelvo sobre lo mismo: Godaddy es la que se compromete (como OVH y otros) a CONFIRMAR y no INFORMAR sobre cambios en la información de contacto y en operativas de transferencias de dominio.

Por favor, creo que todos somos víctimas del phishing y de otras "artes", y debemos exigir a quienes tienen más recursos la minimización de estas actuaciones. Sólo propongo que pidan la confirmación por correo de algunos cambios en información "sensible" para poder evitar estos problemas.

Yo no estoy negando que no cumplieran la legalidad, no la conozco toda y eso lo dejo en manos de mi abogado, evidentemente. A él es a quien voy reportando todos los datos y el detalle de cada correo y cada acción que toma Godaddy.

Lo que os comunico aquí es que Godaddy, no ofrece ninguna garantía de mantener la seguridad del servicio que contratamos. Más allá de que sea legal o no, no sabe proteger a sus clientes y es algo que debería aprender.

Ahora bien, si cumpliendo todas esas leyes que Francisco conoce, además se preocupa en investigar qué ha pasado, en seguir el rastro de lo que tan ligeramente ha recorrido y recupera lo que su falta de protección real ha hecho perder a un cliente. Entonces diré "¡chapeau!" por ellos y afirmaré de nuevo que se puede confiar.

Pero de momento me están haciendo pasar por algo que no deseo para ningún otro webmaster, por eso lo comparto, y aunque eso no sea ley, es sentido común y evidencia.

No se realizó ningún traspaso del dominio, sino cambio de cuenta del registrante, por lo que si se tiene acceso a tu cuenta de godaddy puede hacerse el cambio sin requerir tu intervención.

Como dice JoshMex:
Tan solo cambiaron los correos. El problema sería si tambien sustituyeron la contraseña de la cuenta.
http://whois.domaintools.com/guiadejardin.com

Como conocedor avanzado de la cultura e idioma ruso...... yo te digo que ese texto no lo ha escrito un ruso castellano/parlante. Ha sido un español, más español que Cervantes. Ellos tienen unos vicios en el idioma de los cuales les resulta imposible desprenderse y esos textos no los tienen.

Exacto, JoshMex, han hecho un cambio de cuenta de registrante sin tener la certeza de que era el registrante quien lo estaba pidiendo. No diré el nombre porque no tengo intención de hacer publicidad a otras empresas si no se lo ganan, pero acabo de traspasar el resto de mis dominios a otra en la que para identificarte y operar, te solicitan un código que envían a tu móvil.

Vale, mi marido o mis hijos, incluso mi empleada doméstica o el jardinero podría piratearme ahora la cuenta, pero al menos ya vamos cerrando el agujero.

Es una de las diversas alternativas que existen, los bancos con un largo historial de phishing a sus espaldas emplean otras. Pero que Godaddy no haya puesto ninguna solución al respecto después de años y años con clientes sufriendo lo mismo, me parece indignante.

Y si lo explico aquí y no en otro lugar es porque este sitio es referencia para mi, años ha que sufrió lo mismo. Enhorabuena a sus creadores que supieron capearlo con éxito, yo estoy en ello.

Perdona Lauser, estaba escribiendo otro mensaje y no he visto el tuyo.

¿A qué te refieres con el texto? ¿El que ha puesto en la cabecera? Sí, seguro que lo ha puesto o se lo ha escrito alguien que conoce español.

Y el enlace que incluyes, ¿tiene alguna utilidad? Yo es que con los whois me pierdo un poco

Muchísimas gracias a todos los que comentáis.

Y por cierto, ¿sabéis o imagináis que interés mueve a alguien a robar un dominio? ¿Pensará que intentaré comprárselo? ¿Que lo harán otros? ¿Querrá los 20 euros al mes de adsense que salen de él? No puedo imaginarlo.

Y otra pregunta, si se elimina el contenido de una web el dominio irá perdiendo valor ¿no? ¿Dejará de aparecer en los buscadores en algún momento o se quedará allí para siempre hasta el final de los tiempos apuntando a una página vacía de contenido?

Mientras estos de Godaddy revisan el tema yo estoy arrancando el plan B, si voy a su ritmo me hago vieja antes de que esto vuelva a levantar el vuelo.

Para que puedas ver los cambios efectuados en el registro de tu dominio.

Gracias, Lauser.

Sigo esperando que el departamento de disputas de dominios de Godaddy me de alguna respuesta. Mientras en mi cuenta han borrado todo registro de actuaciones, no puedo ver ni las mías ni las de otros. ¿No existe ningún derecho a ver ese report?

Intento recopilar toda la información que me sugiere mi abogado pero parace que todo son trabas. Tengo mis correos que muestran que desde que comunican que cambian mi información y piden que informe si se hicieron sin autorización hasta que me informan del unlocked del dominio solo transcurre 1 minuto. Pero busco más evidencias.

Mientras he comenzado una campaña en twitter y facebook bajo el hashtag #GDJRO y agradezco infinítamente el apoyo de los que ya se han unido. Si habéis pasado por algo similar sabéis lo difícil que es luchar en solitario contra algo así, si alguien se siente capaz de ayudarme con un simple tweet o un mensaje en facebook sería de gran ayuda. Y quien no, no pasa nada, es comprensible.

Son varias las redes en que esta es mi identidad desde hace años: facebook, twitter, instagram, pinterest, etc..., no es algo que me invente ahora.

Yo iria directamente a la ICANN, pero es un proceso muy lento y tampoco te asegura ningún éxito.

Y aunque te siente mal siento repetirte que la culpa la has tenido tu por seguir un enlace falso, la culpa no la tiene tu proveedor.

¿Que tu proveedor tiene malas políticas? Eso es otro tema a debatir, pero esas políticas son las que has aceptado.

Si consideras que no te hacen mucho caso, debes realizar una reclamación directamente en la ICANN. Tienes enlace en español.
https://www.icann.org/es/compliance/complaint

Pd: disculpa franciscomarin, no vi tu respuesta.

Francisco, lo sabemos, ya me están informando de todo lo que me dirán si hubiera que ir a declarar y lo vamos preparando. Pero si se te ocurre cualquier otro detalle con el que yo tenga que lidiar no dudes en comentarlo, me sirve para prepararme mejor.

Lauser, también estamos con lo del ICANN y la Guardia Civil, parece mentira la de formularios que hay que rellenar..., pero lo llevamos bastante bien. Un buen profesional ayuda no sólo a preparar un caso en sentido burocrático, la gestión emocional es mucho más fácil.

Solo siento que tengo algo abandonado el blog, pero estoy poniendo la información en el dominio .es de momento y sé que debo ir sin prisas, cuando llegue la hora y si sale todo bien es sólo cuestión de enlaces.

Gracias a ambos!!!

Ah! Lo olvidaba, como tengo la intención de ganar, quien pueda tener un problema similar puede apoyarme con un tuit bajo el hashtag #GDJRO o un mensaje a Godaddy en su muro. Hay mucha gente pasando por esto y es hora de hacer cambiar las cosas..., o al menos intentarlo!

Llamaste a Godaddy?, si fue así qué te dijeron?

Yo tengo varios dominios con ellos y te comento que tienen muchas opciones de seguridad para evitar situaciones como esta, ellos te ofrecen que protejas tu dominio enviándole documentación personal de tu cuenta y cuando alguien quiera mover o transferir el dominio solo lo permitirán si demuestras que eres el propietario para ello deben enviar la documentación remitida anteriormente a ellos.

Hola Joshmex,

me han dicho que el departamento de disputa de dominios lo está viendo con el correspondiente en la otra empresa registradora.

En cuanto a lo del sistema que me comentas no me han sugerido nada, a pesar de tener otros dominios y hosting todavía con ellos. ¿Me puedes informar un poco o indicarme donde puedo consultar esa información? ¿Está en su web? Por si acaso voy a mirar.

Gracias!

En qué quedó tu caso con godaddy?

Esta misma tarde han restablecido el dominio en mi cuenta. Teniendo en cuenta que ha sido un mes de quebraderos de cabeza, emails, llamadas telefónicas, una terrible sensación de intimidación, suposiciones, inseguridad, abogados, desembolso de dinero y desconocimiento total de lo que realmente ha sucedido, la sensación final es bastante agridulce.

Feliz de tener de nuevo control sobre el pero sin la seguridad de que no pueda volver a suceder. Desde luego he de agradecer a Godaddy que haya vuelto atrás el transfer, en ese sentido y sólo ese !chapeau por ellos!

La protección de los datos personales debería ser mucho más activa que sólo una advertencia, desde el minuto uno deberían reforzar las restricciones de acceso a los datos personales que un usuario les confía.

Ahora todavía me queda trabajo: desbloquear índices, redireccionar de nuevo el dominio, rehacer los enlaces de lo que he publicado en este mes sin mi dominio original e indexar todo este contenido nuevo.

Prepararé un post detallando la experiencia por si a alguien le puede servir de algo.

Gracias a todos los que me apoyasteis en las redes y me ayudasteis por aquí.

Recuerda que el principal responsable eres tu.
Seguro que a partir de ahora tomaras las medidas de seguridad pertinentes.

Gracias Lauser, pero yo siempre he pensado que quien sufre un robo es víctima, no respondable. Supongo que habrá matices legales que desconozco y que gracias a Dios no he llegado a necesitar esclarecer. Parece ser que reg.ru y godaddy vieron con claridad que no lo era y eso ya es de agradecer, probablemente otro registrador se hubiera lavado las manos y en vez de gastarme una cantidad de apenas tres cifras hubiese tenido que apechugar con más para que se hiciera justicia. Por ese motivo reconozco el buen hacer de Godaddy.

Pero es cierto lo que dices y no sólo hay que intentar evitar los problemas que uno solo se busca, hay que prevenir los que te pueden buscar los amigos de lo ajeno. Para eso recomiendo mirar muy bien las garantías que da un registrador antes de decidirse por él, los hay que para transferir un dominio te piden una declaración jurada de propiedad firmada por notario. ¿Exageración? Yo creo que mucho más lógico así que pedírtela para poderla recuperar, como ha sido mi caso.

Hablas de Strato....
También piensa que es un problema y arduo complejo si quieres cambiar de registrador. Te lo digo por experiencia.