CT no es un feed de phishing. Es un mecanismo público de transparencia y rendición de cuentas para la emisión de certificados TLS. Pero como los sitios de phishing suelen solicitar certificados poco antes o poco después de ponerse en marcha, CT puede actuar como un sensor de alerta temprana de gran cobertura cuando se combina con scoring “brand-aware” y correlación de infraestructura.
CT basics (qué es y por qué ayuda)
Certificate Transparency es un conjunto de logs públicos, append-only, que registran certificados TLS recién emitidos. La mayoría de grandes autoridades de certificación deben enviar certificados a CT, y los principales navegadores exigen cumplimiento CT para certificados públicamente confiables.
Para equipos de protección de marca, el valor está en el timing: si un dominio sospechoso solicita un certificado, a menudo puedes detectarlo antes de que una campaña de phishing por email llegue a víctimas.
Qué monitorizar en CT
1. Coincidencias del token de marca en nombres de certificado
Monitoriza Subject Alternative Names (SANs) y Common Names (CNs) que contengan:
- Tu nombre de marca y abreviaciones comunes.
- Keywords de alto riesgo (login, support, secure, verify, billing, update).
- Familias comunes de typos (transposiciones, caracteres omitidos, caracteres duplicados).
2. Certificados recién emitidos en dominios recién registrados
Certificados emitidos a las pocas horas del registro del dominio suelen ser un indicador de pre-lanzamiento. Cuando puedes unir CT con antigüedad de registro, el scoring de riesgo mejora de forma notable.
3. Patrones sospechosos de subdominio
Los atacantes a menudo esconden el engaño en subdominios. Busca certificados que incluyan:
- Tokens de marca dentro de subdominios profundos.
- Subdominios cargados de keywords que imitan nombres de producto o rutas de portal.
- Múltiples subdominios “brand-like” en el mismo certificado (emisión masiva para una campaña).
Reglas de reducción de ruido
CT tiene muchísimo volumen. Reducir ruido es obligatorio.
- Lista blanca de infraestructura conocida: tus dominios, tu hosting, tus proveedores de marketing.
- Reducir peso de dominios parked: certificados en dominios que solo sirven páginas de parking a menudo siguen siendo benignos.
- Filtrar keywords de bajo riesgo: no todos los tokens de marca son maliciosos (revendedores, afiliados, reseñas).
- Agrupar duplicados: muchos dominios renuevan o solicitan múltiples certificados; alerta por novedad, no por repetición.
CT no debería disparar alertas de alta severidad por sí solo. Trátalo como amplificador de riesgo: CT + similitud de nombre + hosting sospechoso es lo que gana prioridad.
Señales de correlación que aumentan la confianza
CT aporta mucho más valor cuando lo correlacionas con otra telemetría:
- Postura DNS: nuevos A/AAAA en ASNs sospechosos, cambios rápidos de NS o creación abrupta de MX.
- Reutilización de hosting: IPs, ASNs y nameservers reutilizados entre clusters de phishing conocidos.
- Huellas de contenido: matches tempranos de estructura HTML para logins y plantillas de kits comunes.
- Comportamiento de redirección: redirecciones por geolocalización o por user-agent (cloaking) poco después de la emisión.
Workflow operativo
Un flujo ligero que escala:
- Ingesta: ingiere entradas de CT y extrae dominios candidatos y SANs.
- Scoring: aplica similitud de marca y pesos por keywords.
- Enriquecimiento: añade antigüedad de registro, DNS, hosting, ASN y metadatos HTTP básicos.
- Escalado: prioriza solo si existe al menos una señal no basada en nombre.
- Acción: bloquea, notifica y activa takedown cuando el contenido confirme abuso.
Puntos clave
- Los logs de CT suelen revelar infraestructura de phishing antes que reportes de usuarios y blocklists.
- Reducir ruido exige listas blancas, deduplicación y scoring de riesgo.
- Los casos de mayor confianza combinan CT con señales DNS, hosting y contenido.
- CT funciona mejor como sensor dentro de un pipeline multi-señal.