Qué es una lista de bloqueo de dominios de malware (y cómo se fusionan 500+ fuentes)

Una lista de bloqueo de dominios de malware es una colección curada de dominios y direcciones IP conocidos por alojar malware, phishing, infraestructura de comando y control (C2) o endpoints de exfiltración. En el web skimming su valor es directo: si una página de checkout se conecta a un dominio de esa lista, tienes un incidente confirmado.

Una sola fuente nunca es suficiente. Los distintos feeds cubren amenazas diferentes, se actualizan con frecuencias distintas y tienen niveles diferentes de falsos positivos. Por eso ExploitShield unifica más de 500 fuentes en varias categorías: inteligencia comercial (Spamhaus DBL, DROP, SURBL), feeds comunitarios abiertos (URLhaus, OpenPhish, PhishTank, abuse.ch, MalwareBazaar, Feodo Tracker, ThreatFox), reputación a nivel DNS (Quad9, listas públicas de OpenDNS) y listas de detección generales (Maltrail, StevenBlack).

El proceso de fusión: cada feed se normaliza a una forma canónica (dominio, IP o patrón de URL), se deduplica entre fuentes, se etiqueta con origen y nivel de confianza y se actualiza cada hora. En cada escaneo, los destinos de salida vistos por el navegador se cotejan contra el conjunto unificado — no contra una copia local desactualizada.

Por qué importa la frecuencia: los dominios de exfiltración suelen vivir solo unos días. Una lista actualizada semanalmente los pasa por alto por completo. Al cotejar en cada escaneo contra feeds actualizados cada hora, capturamos dominios en sus primeras horas de actividad — exactamente la ventana en la que una campaña causa más daño.

La lista de bloqueo no es toda la historia — un dominio nuevo que todavía no aparece en ningún feed se marca mediante la antigüedad WHOIS y heurísticas de forma de skimmer. Pero para las amenazas conocidas, una cobertura amplia y actualizada con frecuencia es la primera línea de defensa, y por eso lo tratamos como un problema de ingeniería y no como una integración puntual.