Dominios y direcciones IP
Hoy en día, los motores de búsqueda dominan la World Wide Web. Por ejemplo, para visitar el sitio web de Increase Your Skills GmbH, muy pocos usuarios introducen directamente el dominio increaseyourskills. com en la barra de URL de su navegador. En lugar de eso, la mayoría escribe algo como "increase your skills courses" o "increase your skills data protection" para que un motor de búsqueda enumere algunos resultados de búsqueda y, a continuación, haga clic en el primer resultado relevante para llegar finalmente al sitio web deseado. Esto es cómodo y, para muchos, la forma habitual de utilizar los servicios de la World Wide Web. Pero si ya conocemos el dominio de un servicio, las desviaciones a través de un motor de búsqueda son básicamente superfluas: entonces podemos ir directamente al dominio del servicio deseado. Esto ayuda a ahorrar datos a los motores de búsqueda, y también evita que seleccionemos accidentalmente el acierto de búsqueda equivocado.
Dominios como increaseyourskills.com o elearning.increaseyourskills.com o shop.increaseyourskills.com asumen en Internet y en la World Wide Web la tarea que realizan las direcciones postales: sirven de direcciones para el área respectiva perteneciente a una determinada persona o institución. Para orientarse en la World Wide Web, esto es básicamente todo lo que necesitamos saber sobre dominios y direcciones en Internet. Pero, como suele ocurrir en informática, esto es sólo una verdad a medias. Técnicamente hablando, no son las personas las que intercambian datos en Internet, sino los ordenadores. Pero los ordenadores no se dirigen entre sí a través de dominios como increaseyourskills.com, sino a través de las llamadas direcciones de protocolo de Internet, o direcciones IP para abreviar, como 81.169.145.162 o 195.201.99.19 o 23.227.38.74. En última instancia, los dominios son direcciones IP. En última instancia, los dominios no son más que seudónimos más amigables para estas direcciones IP, ya que a los humanos nos resulta más fácil recordar palabras y secuencias de palabras que secuencias de números.
El sistema de nombres de dominio
A cada dominio válido se le asigna una dirección IP de este tipo. Por ejemplo, antes de que un ordenador portátil o un smartphone puedan ponerse en contacto con el dominio increaseyourskills.com, este dominio debe traducirse a la dirección IP correspondiente. Sin embargo, ningún ordenador tiene almacenada una lista de todos los dominios y sus correspondientes direcciones IP. Entonces, ¿cómo averigua nuestro portátil o smartphone qué dirección IP está detrás del dominio increaseyourskills.com? Aquí es donde entra en juego el llamado Sistema de Nombres de Dominio (o DNS, por sus siglas en inglés). El Sistema de Nombres de Dominio es el servicio de red donde cada ordenador puede solicitar la dirección IP asignada a un dominio válido.
Para un dominio que un ordenador visita con frecuencia o ha visitado recientemente, ya conoce la dirección IP. Si no es así, solicita la dirección IP al siguiente servidor DNS. En el caso de una conexión fija a Internet, suele tratarse del router de la red local, que regula el tráfico de datos entre los ordenadores registrados en la WLAN o LAN local e Internet. Si el router de la red local tampoco conoce la dirección IP de un determinado dominio, vuelve a solicitar esta información al servidor DNS más cercano. Normalmente, se trata de un servidor DNS operado por el proveedor de Internet responsable de la conexión local a Internet. La mayoría de los proveedores de Internet tienen varios servidores DNS en funcionamiento para este fin. Si los servidores DNS del proveedor de Internet tampoco conocen la dirección IP de un dominio concreto, vuelven a ponerse en contacto con el servidor DNS más cercano. Existe una jerarquía estricta de estos servidores DNS en Internet. Para cada dominio, se determina con precisión qué servidor DNS tiene la última palabra, por así decirlo, para este dominio. Entre otras cosas, esto evita que los servidores DNS de Internet se pregunten unos a otros sin cesar por la dirección IP correspondiente a un dominio inventado libremente.
Suplantación de DNS
La principal tarea de un servidor DNS es responder a las consultas de los ordenadores que quieren conocer la dirección IP asociada a un dominio concreto. Si conseguimos que un servidor DNS responda a dicha consulta no con la dirección IP real, sino con otra dirección IP facilitada por nosotros, estaremos incurriendo en una suplantación de DNS. De este modo, el intercambio de datos entre el terminal de un usuario y un servidor en Internet puede redirigirse a otro servidor.
Un objetivo fácil para la suplantación de DNS es el enrutador de la red local en la red doméstica o en la red de la empresa porque, en la mayoría de los casos, éste es el primer servidor DNS con el que contactan los ordenadores de la red local. Supongamos que tenemos acceso administrativo al router de la red. En ese caso, es fácil hacer entradas DNS adicionales en él y redirigir el tráfico de datos de ciertos dominios específicamente a otros servidores. Si no existieran medidas de seguridad adicionales, esto facilitaría, por ejemplo, engañar a los usuarios de la red local haciéndoles creer que están visitando un determinado sitio web, cuando en realidad están visitando una copia manipulada de ese sitio web.
Manipular los servidores DNS de un proveedor de Internet o en la infraestructura más profunda de Internet de manera similar, por otra parte, requiere conocimientos avanzados en redes informáticas y protocolos de red. Existen varios escenarios de ataque conocidos contra el DNS. Muchos de ellos son sólo históricamente relevantes porque el DNS se está desarrollando y reforzando continuamente contra tales ataques. Por ejemplo, con DNSSEC, hay una serie de extensiones para el Sistema de Nombres de Dominio que permiten autenticar criptográficamente las respuestas de un servidor DNS. Por desgracia, DNSSEC aún no se utiliza de forma generalizada.
Detección de la suplantación de DNS
Para los administradores de red y otros usuarios con afinidad por la tecnología, existe software que puede utilizarse para llevar a cabo una auditoría DNS adecuada. Todas las distribuciones comunes de Linux contienen la caja de herramientas DNSDiag, disponible gratuitamente, que puede utilizarse para analizar las respuestas DNS, por ejemplo, para determinar si una consulta DNS es objeto de un ataque man-in-the-middle. En el uso normal y cotidiano de Internet y la World Wide Web, actualmente es muy difícil determinar si se nos está endilgando una dirección IP falsa mediante la suplantación de DNS. El hecho de que nuestro dispositivo final confíe ciegamente en las respuestas del servidor DNS, por así decirlo, está en la naturaleza de las cosas sin autenticación criptográfica de las respuestas DNS.
Afortunadamente, hoy en día la transferencia de datos en Internet está protegida, en la mayoría de los casos, por un protocolo criptográfico llamado TLS. En la World Wide Web, reconocemos el uso de TLS por el hecho de que la dirección en la barra de URL no empieza por http://, sino por https://. Los navegadores modernos también muestran un pequeño candado delante de la dirección para indicar que la conexión está protegida por TLS. Si la conexión con el servidor está asegurada por TLS, la suplantación de DNS todavía puede hacer que las peticiones se redirijan a un servidor equivocado, pero gracias a TLS, nuestro dispositivo final reconoce que no es el servidor correcto e interrumpe la comunicación.
Así que cuando navegue a diario, busque el pequeño candado en la barra de URL y asegúrese de que https:// precede a cualquier dirección web. Así, el protocolo TLS también le protegerá de las consecuencias de un ataque de suplantación de DNS.