La suplantación de DNS, una táctica maliciosa, consiste en manipular la resolución DNS para redirigir a los usuarios a sitios web fraudulentos. Al alterar los registros DNS, los atacantes engañan a los usuarios para que visiten sitios maliciosos, arriesgándose a comprometer sus datos. Detectar esta amenaza requiere estar atento a redireccionamientos inesperados o advertencias del navegador. Implemente protocolos DNS seguros y actualizaciones de software para mitigar los riesgos y garantizar una navegación segura.

El sistema de nombres de dominio (DNS)

A cada dominio válido se le asigna una dirección IP de este tipo. Por ejemplo, antes de que un ordenador portátil o un smartphone puedan ponerse en contacto con el dominio metacompliance.com.com, este dominio debe traducirse en la dirección IP correspondiente. Sin embargo, ningún ordenador tiene almacenada una lista de todos los dominios y sus correspondientes direcciones IP. Entonces, ¿cómo puede nuestro portátil o smartphone averiguar qué dirección IP está detrás del dominio metacumplimiento.com.com? Aquí es donde entra en juego el llamado Sistema de Nombres de Dominio (o DNS, por sus siglas en inglés). El Sistema de Nombres de Dominio es el servicio de red en el que cada ordenador puede solicitar la dirección IP asignada a un dominio válido.

Para un dominio que un ordenador visita con frecuencia o ha visitado recientemente, ya conoce la dirección IP. Si no es así, solicita la dirección IP al siguiente servidor DNS. En el caso de una conexión fija a Internet, éste suele ser el router de la red local, que regula el tráfico de datos entre los ordenadores registrados en la WLAN o LAN local e Internet. Si el router de la red local tampoco conoce la dirección IP de un determinado dominio, vuelve a solicitar esta información al servidor DNS más cercano. Normalmente, se trata de un servidor DNS operado por el proveedor de internet responsable de la conexión local a internet. La mayoría de los proveedores de internet tienen varios servidores DNS en funcionamiento para este fin. Si los servidores DNS del proveedor de internet tampoco conocen la dirección IP de un dominio concreto, vuelven a ponerse en contacto con el servidor DNS más cercano. Existe una jerarquía estricta de estos servidores DNS en internet. Para cada dominio, se determina con precisión qué servidor DNS tiene la última palabra, por así decirlo, para este dominio. Entre otras cosas, esto evita que los servidores DNS de internet se pregunten unos a otros sin cesar por la dirección IP correspondiente a un dominio inventado libremente.

Suplantación de DNS

La tarea principal de un servidor DNS es responder a las consultas de los ordenadores que desean conocer la dirección IP asociada a un dominio concreto. Si conseguimos que un servidor DNS responda a dicha consulta no con la dirección IP real, sino con otra dirección IP facilitada por nosotros, estaremos incurriendo en una suplantación de DNS. De este modo, el intercambio de datos entre el terminal de un usuario y un servidor en Internet puede redirigirse a otro servidor.

Un objetivo fácil para la suplantación de DNS es el enrutador de la red local en la red doméstica o en la red de la empresa porque, en la mayoría de los casos, éste es el primer servidor DNS con el que contactan los ordenadores de la red local. Supongamos que tenemos acceso administrativo al enrutador de la red. En ese caso, es fácil realizar entradas DNS adicionales en él y redirigir el tráfico de datos de determinados dominios específicamente a otros servidores. Si no existieran medidas de seguridad adicionales, esto facilitaría, por ejemplo, engañar a los usuarios de la red local haciéndoles creer que están visitando un determinado sitio web, cuando en realidad están visitando una copia manipulada de ese sitio web.

Manipular los servidores DNS de un proveedor de Internet o en la infraestructura más profunda de Internet de forma similar, por otra parte, requiere conocimientos avanzados en redes informáticas y protocolos de red. Existen varios escenarios conocidos de ataques al DNS. Muchos de ellos sólo tienen relevancia histórica porque el DNS se desarrolla y endurece continuamente contra este tipo de ataques. Por ejemplo, con DNSSEC, existe una serie de extensiones para el Sistema de Nombres de Dominio que permiten autenticar criptográficamente las respuestas de un servidor DNS. Lamentablemente, DNSSEC aún no se utiliza de forma generalizada.

Detección de la suplantación de DNS

Para los administradores de red y otros usuarios con afinidad por la tecnología, existe software que puede utilizarse para llevar a cabo una auditoría DNS adecuada. Todas las distribuciones habituales de Linux contienen la caja de herramientas gratuita DNSDiag, que puede utilizarse para analizar las respuestas DNS, por ejemplo, para determinar si una consulta DNS es objeto de un ataque de intermediario. En el uso normal y cotidiano de Internet y de la World Wide Web, actualmente es muy difícil determinar si se nos está endilgando una dirección IP falsa mediante la suplantación de DNS. El hecho de que nuestro dispositivo final confíe ciegamente en las respuestas del servidor DNS, por así decirlo, está en la naturaleza de las cosas sin autenticación criptográfica de las respuestas DNS.

Afortunadamente, hoy en día la transferencia de datos en Internet está, en la mayoría de los casos, protegida por un protocolo criptográfico llamado TLS (Transport Layer Security). En la World Wide Web, reconocemos el uso de TLS por el hecho de que la dirección en la barra de URL no empieza por http://, sino por https://. Los navegadores web modernos también muestran un pequeño candado delante de la dirección para indicar que la conexión está asegurada por TLS. Si la conexión con el servidor está asegurada por TLS, la suplantación de DNS todavía puede hacer que las peticiones se redirijan a un servidor equivocado, pero gracias a TLS, nuestro dispositivo final reconoce que no es el servidor correcto y corta la comunicación.

Así que cuando navegue a diario, busque el pequeño candado en la barra de URL y asegúrese de que https:// precede a cualquier dirección web. Entonces, el protocolo TLS también le protegerá de las consecuencias de un ataque de suplantación de DNS.

Mejore su concienciación sobre ciberseguridad con la formación de MetaCompliance

La suplantación de DNS es una grave amenaza cibernética que puede comprometer la integridad y la seguridad de su red. Al comprender sus mecanismos y reconocer sus señales, como los redireccionamientos inesperados de sitios web o las advertencias del navegador, puede tomar medidas proactivas para protegerse a sí mismo y a su organización. Para mejorar aún más su concienciación y sus defensas en materia de ciberseguridad, considere la posibilidad de explorar los completos programas de formación de MetaCompliance, diseñados para dotar a los empleados y ejecutivos de los conocimientos y habilidades necesarios para identificar y mitigar eficazmente los diversos riesgos cibernéticos. Manténgase informado, manténgase alerta y manténgase seguro con MetaCompliance.