El DNS spoofing, una táctica dañina, consiste en manipular la resolución DNS para redirigir a los usuarios hacia sitios web fraudulentos. Mediante la alteración de los registros DNS, los atacantes engañan a los usuarios para que visiten sitios maliciosos, poniendo en riesgo los datos. Para detectar esta amenaza es necesario estar atento a redireccionamientos inesperados o advertencias del navegador. Implemente protocolos DNS seguros y actualizaciones de software para mitigar los riesgos y garantizar una navegación segura.
El Domain Name System (DNS)
A cada dominio válido se le asigna una dirección IP de este tipo. Por ejemplo, antes de que un ordenador portátil o un smartphone puedan ponerse en contacto con el dominio metacompliance.com.com, este dominio debe traducirse a la dirección IP correspondiente. Sin embargo, ningún ordenador tiene almacenada una lista de todos los dominios y sus correspondientes direcciones IP. Entonces, ¿cómo averigua nuestro portátil o smartphone qué dirección IP está detrás del dominio metacumplimiento.com.com? Aquí es donde entra en juego el llamado Sistema de Nombres de Dominio (o DNS, por sus siglas en inglés). El Sistema de Nombres de Dominio es el servicio de red en el que cada ordenador puede solicitar la dirección IP asignada a un dominio válido.
Para un dominio que un ordenador visita con frecuencia o ha visitado recientemente, ya conoce la dirección IP. Si no es así, solicita la dirección IP al siguiente servidor DNS. En el caso de una conexión fija a Internet, suele tratarse del router de la red local, que regula el tráfico de datos entre los ordenadores registrados en la WLAN o LAN local e Internet. Si el router de la red local tampoco conoce la dirección IP de un determinado dominio, vuelve a solicitar esta información al servidor DNS más cercano. Normalmente, se trata de un servidor DNS operado por el proveedor de Internet responsable de la conexión local a Internet. La mayoría de los proveedores de Internet tienen varios servidores DNS en funcionamiento para este fin. Si los servidores DNS del proveedor de Internet tampoco conocen la dirección IP de un dominio concreto, vuelven a ponerse en contacto con el servidor DNS más cercano. Existe una jerarquía estricta de estos servidores DNS en Internet. Para cada dominio, se determina con precisión qué servidor DNS tiene la última palabra, por así decirlo, para este dominio. Entre otras cosas, esto evita que los servidores DNS de Internet se pregunten unos a otros sin cesar por la dirección IP correspondiente a un dominio inventado libremente.
DNS Spoofing
La principal tarea de un servidor DNS es responder a las consultas de los ordenadores que quieren conocer la dirección IP asociada a un dominio concreto. Si conseguimos que un servidor DNS responda a dicha consulta no con la dirección IP real, sino con otra dirección IP facilitada por nosotros, estaremos incurriendo en una suplantación de DNS. De este modo, el intercambio de datos entre el terminal de un usuario y un servidor en Internet puede redirigirse a otro servidor.
Un objetivo fácil para la suplantación de DNS es el enrutador de la red local en la red doméstica o en la red de la empresa porque, en la mayoría de los casos, éste es el primer servidor DNS con el que contactan los ordenadores de la red local. Supongamos que tenemos acceso administrativo al router de la red. En ese caso, es fácil hacer entradas DNS adicionales en él y redirigir el tráfico de datos de ciertos dominios específicamente a otros servidores. Si no existieran medidas de seguridad adicionales, esto facilitaría, por ejemplo, engañar a los usuarios de la red local haciéndoles creer que están visitando un determinado sitio web, cuando en realidad están visitando una copia manipulada de ese sitio web.
Manipular los servidores DNS de un proveedor de Internet o en la infraestructura más profunda de Internet de manera similar, por otra parte, requiere conocimientos avanzados en redes informáticas y protocolos de red. Existen varios escenarios de ataque conocidos contra el DNS. Muchos de ellos son sólo históricamente relevantes porque el DNS se está desarrollando y reforzando continuamente contra tales ataques. Por ejemplo, con DNSSEC, hay una serie de extensiones para el Sistema de Nombres de Dominio que permiten autenticar criptográficamente las respuestas de un servidor DNS. Por desgracia, DNSSEC aún no se utiliza de forma generalizada.
Detección del DNS Spoofing
Para los administradores de red y otros usuarios con afinidad por la tecnología, existe software que puede utilizarse para llevar a cabo una auditoría DNS adecuada. Todas las distribuciones comunes de Linux contienen la caja de herramientas DNSDiag, disponible gratuitamente, que puede utilizarse para analizar las respuestas DNS, por ejemplo, para determinar si una consulta DNS es objeto de un ataque man-in-the-middle. En el uso normal y cotidiano de Internet y la World Wide Web, actualmente es muy difícil determinar si se nos está endilgando una dirección IP falsa mediante la suplantación de DNS. El hecho de que nuestro dispositivo final confíe ciegamente en las respuestas del servidor DNS, por así decirlo, está en la naturaleza de las cosas sin autenticación criptográfica de las respuestas DNS.
Afortunadamente, hoy en día la transferencia de datos en Internet está protegida, en la mayoría de los casos, por un protocolo criptográfico llamado TLS (Transport Layer Security). En la World Wide Web, reconocemos el uso de TLS por el hecho de que la dirección en la barra de URL no empieza por http://, sino por https://. Los navegadores modernos también muestran un pequeño candado delante de la dirección para indicar que la conexión está protegida por TLS. Si la conexión con el servidor está asegurada por TLS, la suplantación de DNS todavía puede hacer que las peticiones se redirijan a un servidor equivocado, pero gracias a TLS, nuestro dispositivo final reconoce que no es el servidor correcto e interrumpe la comunicación.
Así que cuando navegue a diario, busque el pequeño candado en la barra de URL y asegúrese de que https:// precede a cualquier dirección web. Así, el protocolo TLS también le protegerá de las consecuencias de un ataque de suplantación de DNS.
Mejore su concienciación sobre ciberseguridad con la formación de MetaCompliance
La suplantación de DNS es una grave amenaza cibernética que puede comprometer la integridad y seguridad de su red. Al comprender sus mecanismos y reconocer sus señales, como redireccionamientos inesperados de sitios web o advertencias del navegador, puede tomar medidas proactivas para protegerse a sí mismo y a su organización. Para mejorar aún más su concienciación y sus defensas en materia de ciberseguridad, considere la posibilidad de explorar los completos programas de formación de MetaCompliance, diseñados para dotar a empleados y directivos de los conocimientos y habilidades necesarios para identificar y mitigar eficazmente los diversos riesgos cibernéticos. Manténgase informado, atento y seguro con MetaCompliance.