Introducción al «envenenamiento del DNS» (y cómo prevenirlo)

Si hay algo que nos enseñan las películas de Hollywood, es que los piratas informáticos son inteligentes y tienen varios trucos para eludir nuestra seguridad. En el mundo real, un problema de seguridad a menudo se reduce a una oportunidad más que a una habilidad desarrollada. Un ataque de «envenenamiento de DNS» se ajusta a esta descripción y, de hecho, usted necesita tener las habilidades para evitar que su dominio sea falsificado.

El concepto es simple: los visitantes ven lo que parece su sitio web, pero es fraudulento y dañino, mientras que este sitio web falso se ve similar. Como tal, debe emplear varias técnicas para asegurarse de que los usuarios estén seguros y su sitio permanezca libre de ataques.

En esta publicación, vamos a profundizar en el concepto de envenenamiento de DNS y suplantación de dominio. También vamos a hablar sobre algunos de los conceptos circundantes para ayudarlo a comprender por qué su respuesta final es el mejor enfoque.

Introducción al sistema de nombres de dominio (DNS)

Antes de entrar en los detalles del envenenamiento de DNS, hablemos sobre el sistema de nombres de dominio. Si bien navegar por un sitio web parece una tarea sencilla, suceden muchas cosas bajo el capó del servidor.

Hay muchos elementos involucrados para llevarlo de ‘A’ a ‘B’:

• Dirección IP. Es una cadena de números que es su dirección web real. Considérelas las coordenadas de su casa. Por ejemplo, 127.0.0.1:8080 es una dirección estándar de «localhost» (es decir, su computadora).
• Nombre de dominio. Si la dirección IP representa coordenadas, el nombre de dominio es su dirección como aparece en el sobre. Por supuesto, “kinsta.com” es uno de los millones de ejemplos.
• Una solicitud de DNS. Es un excelente ejemplo de una tarea de frontend de alto nivel con un proceso complejo de bajo nivel. Por ahora, considere que una solicitud es su navegador preguntando a un servidor dedicado cuál es la dirección para un conjunto de coordenadas.
• Un servidor DNS. Esto es diferente del servidor de su sitio web en que son cuatro servidores en uno. Su trabajo es procesar solicitudes de DNS. Hablaremos de esto con más detalle en secciones posteriores.
• Servidor recursivo. También verá estos servidores llamados «resolución de servidores de nombres». Es parte del proceso de búsqueda de DNS y es responsable de consultar a los servidores el nombre de dominio relacionado con una dirección IP.

En general, un DNS simplifica la búsqueda de un nombre de dominio para el usuario final. Es una parte central de la web y, como tal, tiene muchas partes móviles.

Veremos el proceso de búsqueda en sí a continuación, aunque ya puede ver cómo el DNS tiene un trabajo vital que cumplir.

No permita que su sitio sea víctima de un ataque de envenenamiento de DNS ☠️ Aprenda las habilidades esenciales que necesita para evitar que su dominio sea falsificado aquí ⬇️Haz clic para tuitear

El proceso de una búsqueda de DNS

Tenga paciencia con nosotros mientras ofrecemos lo que parece una analogía abstracta.

Las actividades que llevan a las personas a lugares remotos, como el montañismo o la navegación, comparten un peligro específico: perderse y no ser encontrado a tiempo. La forma tradicional de localizar a las personas varadas ha sido utilizar coordenadas. Son explícitos y ofrecen una precisión milimétrica.

Sin embargo, este proceso tiene inconvenientes. Primero, necesita saber cómo calcular sus coordenadas para cualquier ubicación, algo complicado si se encuentra en una parte remota del mundo. En segundo lugar, debes articular esas coordenadas al equipo de rescate. Un número equivocado y las consecuencias son nefastas.

La aplicación what3words toma el complejo proceso de calcular y transmitir coordenadas y lo convierte en un resumen de tres palabras de su ubicación general. Por ejemplo, tome la sede de Automattic:

Las coordenadas de la ubicación son 37.744159, -122.421555. Sin embargo, a menos que sea un navegador experto, es probable que no sepa esto. Incluso si lo hiciera, poner esto en manos de alguien que pueda ayudarlo es una propuesta delgada.

En pocas palabras, what3words toma un conjunto abstracto de coordenadas y las traduce en tres palabras memorables. En el caso de las oficinas de Automattic, es Decente.Transfers.sleeps:

Esto pone un posicionamiento global complejo en manos de casi cualquier persona con acceso a la aplicación. Ya ha salvado muchas vidas civiles.

Esto se relaciona con una búsqueda de DNS porque el proceso es similar. En el caso de what3words, el rescatador le pide a la aplicación las coordenadas de una cadena de palabras. La solicitud se envía a través de los servidores para buscar las coordenadas y volver al usuario final cuando las encuentra.

Una búsqueda de DNS tiene un flujo similar:

• Su navegador solicita la dirección IP de un nombre de dominio.
• Su sistema operativo (SO) le pide al servidor recursivo que encuentre el nombre de dominio y comienza una ejecución a través de su colección de servidores.
• Cuando encuentra el nombre de dominio, lo devuelve al navegador.

Uno de los inconvenientes de what3words es que una cadena de palabras no es tan precisa como un conjunto de coordenadas. Esto significa que puede identificar rápidamente una ubicación general, pero puede pasar más tiempo buscando a la persona varada.

Una búsqueda de DNS también tiene inconvenientes y los atacantes malintencionados pueden explotarlos. Sin embargo, antes de ver esto, tomemos un breve desvío para hablar sobre el almacenamiento en caché y cómo esto puede acelerar una búsqueda.

Almacenamiento en caché de DNS

Al igual que el almacenamiento en caché web, el almacenamiento en caché de DNS puede ayudarlo a recordar consultas regulares al servidor. Esto hará que el proceso de obtención de una dirección IP sea más rápido para cada nueva visita.

En resumen, la caché se encuentra dentro del sistema del servidor DNS y corta el viaje adicional al servidor recursivo. Esto significa que un navegador puede obtener una dirección IP directamente del servidor DNS y completar la OBTENER solicitud en un tiempo más rápido.

Encontrará cachés de DNS en todo su sistema. Por ejemplo, su computadora tendrá una caché de DNS, al igual que su enrutador y su proveedor de servicios de Internet (ISP). A menudo no se da cuenta de cuánto depende su experiencia de navegación del almacenamiento en caché de DNS, hasta que es víctima de un envenenamiento de DNS.

Qué es el envenenamiento por DNS

Ahora que comprende el concepto de búsqueda de DNS y todo el proceso de obtención de una dirección IP, podemos ver cómo se puede aprovechar.

A menudo, también verá que el envenenamiento de DNS se conoce como «falsificación» porque tener un sitio web «similar» fraudulento en la cadena es parte del ataque.

Hablaremos con más detalle sobre todos estos aspectos, pero sepa que el envenenamiento o suplantación de DNS es un ataque dañino que puede causar problemas mentales, monetarios y relacionados con los recursos para los usuarios e Internet.

Primero, sin embargo, entremos en el proceso de envenenamiento de caché.

Cómo funciona la suplantación de DNS y el envenenamiento de caché

Dado que todo el proceso de suplantación de identidad es complejo, los atacantes han creado muchas formas diferentes de lograr su objetivo:

• Máquina en el medio. Aquí es donde un atacante se mete entre el navegador y el servidor DNS, envenena a ambos y redirige al usuario a un sitio fraudulento en su propio servidor.
• Secuestro de servidor. Si un atacante ingresa al servidor DNS, puede reconfigurarlo para enviar todas las solicitudes a su propio sitio.
• Envenenamiento por spam. En contraste con un secuestro del servidor, este enfoque envenena el lado del cliente (es decir, el navegador). El acceso a menudo se otorga a través de enlaces de spam, correos electrónicos y anuncios fraudulentos.
• «Ataques de cumpleaños». Este es un ataque criptográfico complejo que requiere una explicación más detallada.

Un ataque de cumpleaños se basa en el «problema del cumpleaños». Este es un escenario de probabilidad que dice (en pocas palabras) si hay 23 personas en una habitación, hay un 50% de posibilidades de que dos compartan el mismo cumpleaños. Si hay más personas en la sala, aumentan las posibilidades.

Esto se traduce en envenenamiento de DNS según el identificador que conecta la solicitud de búsqueda de DNS a la OBTENER respuesta. Si el atacante envía una cierta cantidad de solicitudes y respuestas aleatorias, existe una alta probabilidad de que una coincidencia dé como resultado un intento de envenenamiento exitoso. De alrededor de 450 solicitudes, la probabilidad es de aproximadamente el 75%, y con 700 solicitudes, es casi seguro que un atacante romperá el servidor.

En resumen, los ataques al servidor DNS ocurren en la mayoría de los casos porque esto le da a un usuario malintencionado una mayor flexibilidad para manipular su sitio y los datos del usuario. Tampoco hay verificación para los datos de DNS porque las solicitudes y respuestas no utilizan el Protocolo de control de transmisión (TCP).

El punto débil de la cadena es la caché de DNS porque actúa como un depósito de entradas de DNS. Si un atacante puede inyectar entradas falsificadas en la caché, todos los usuarios que accedan a ella se encontrarán en un sitio fraudulento hasta que expire la caché.

Los atacantes a menudo buscarán algunas señales, puntos débiles y puntos de datos para apuntar. Trabajan para detectar consultas de DNS que aún no se han almacenado en caché porque el servidor recursivo tendrá que realizar la consulta en algún momento. Por extensión, un atacante también buscará el servidor de nombres al que irá una consulta. Una vez que lo tienen, el puerto que usa el resolutor y el número de identificación de la solicitud son vitales.

Si bien no es necesario cumplir con todos estos requisitos (después de todo, un atacante puede acceder a los servidores a través de numerosos métodos), marcar estas casillas facilita su trabajo.

Ejemplos reales de envenenamiento por DNS

Ha habido algunos ejemplos de alto perfil a lo largo de los años de envenenamiento del DNS. En algunos casos, es un acto intencional. Por ejemplo, China opera un cortafuegos a gran escala (el llamado «Gran Cortafuegos de China») para controlar la información que reciben los usuarios de Internet.

En pocas palabras, envenenan sus propios servidores al redirigir a los visitantes que se dirigen a sitios no autorizados por el estado como Twitter y Facebook. En un caso, las restricciones chinas incluso se abrieron paso en el ecosistema del mundo occidental.

Un error de red de un ISP sueco proporcionó información de DNS raíz de servidores chinos. Esto significó que los usuarios en Chile y los EE. UU. Fueron redirigidos a otros lugares al acceder a algunos sitios de redes sociales.

En otro ejemplo, los piratas informáticos de Bangladesh que protestaban por el maltrato en Malasia envenenaron muchos dominios relacionados con Microsoft, Google, YouTube y otros sitios de alto perfil. Este parece haber sido un caso de secuestro del servidor más que un problema del lado del cliente o spam.

Incluso WikiLeaks no es inmune a los ataques de envenenamiento del DNS. Un posible secuestro del servidor hace unos años provocó que los visitantes del sitio web fueran redirigidos a una página dedicada a los piratas informáticos.

El envenenamiento del DNS no tiene por qué ser un proceso complicado. Los llamados «piratas informáticos éticos», es decir, aquellos que buscan exponer fallas de seguridad en lugar de infligir daños, tienen métodos sencillos para probar la suplantación de identidad en sus propios equipos.

Sin embargo, además de ser redirigido, es posible que no parezca haber ningún efecto a largo plazo del envenenamiento del DNS en la superficie. De hecho, los hay, y hablaremos de ellos a continuación.

Por qué el envenenamiento y la suplantación de DNS son tan dañinos

Hay tres objetivos principales de un atacante que espera realizar un envenenamiento de DNS en un servidor:

• Para difundir malware.
• Redirigirlo a otro sitio web que los beneficiará de alguna manera.
• Robar información, ya sea de usted o de otra entidad.

Por supuesto, entender por qué el envenenamiento o la suplantación de DNS es un problema para los ISP, los operadores de servidores y los usuarios finales, no es un salto de la imaginación.

Como señalamos, la suplantación de identidad es un problema enorme para los ISP, tanto es así que existen herramientas como CAIDA Spoofer disponibles para ayudar.

Hace unos años, las estadísticas mostraban que se producían alrededor de 30.000 ataques al día. Es casi seguro que este número habrá aumentado desde que se publicó el informe. Es más, como fue el caso con el ejemplo de la sección anterior, la entrega de sitios falsificados a través de una red hace que los problemas de confianza del usuario salgan a la luz, junto con los problemas de privacidad.

Independientemente de quién sea usted, existen algunos riesgos involucrados cuando es víctima de envenenamiento y suplantación de identidad:

• Al igual que con el Gran Cortafuegos de China, podría estar sujeto a censura. Esto significa que la información que obtenga no será precisa, lo que tiene un efecto en cadena en muchos ámbitos sociales y políticos.
• El robo de datos es una de las principales preocupaciones y es una empresa lucrativa para quienes desean obtener información bancaria de los usuarios y otros datos confidenciales.
• Podría ser susceptible a malware y otros virus troyanos en su sistema. Por ejemplo, un atacante podría inyectar un keylogger u otras formas de software espía en su sistema a través de un sitio falsificado.

También hay otros efectos relacionados con el envenenamiento del DNS. Por ejemplo, es posible que no pueda aplicar ninguna actualización de seguridad a su sistema mientras el proceso de recuperación está en pleno apogeo. Esto deja a su computadora vulnerable por más tiempo.

Además, considere el costo y la complejidad de este proceso de limpieza, ya que afectará a todos a lo largo de la cadena. Los precios más altos para todos los servicios conectados es solo uno de los aspectos negativos.

El esfuerzo de eliminar el envenenamiento del DNS es inmenso. Dado que la suplantación de identidad afecta tanto a las configuraciones del lado del cliente como del servidor, eliminarla de una no significa que haya desaparecido de todas.

Cómo prevenir el envenenamiento del DNS

Hay dos áreas afectadas por el envenenamiento del DNS: el lado del cliente y el lado del servidor. Vamos a echar un vistazo a lo que puede hacer para evitar este ataque dañino en ambos lados de la moneda.

Comencemos con lo que Internet en su conjunto está haciendo en el lado del servidor.

Cómo Internet intenta prevenir el envenenamiento y la suplantación de DNS en el lado del servidor

Aunque hemos hablado mucho sobre DNS a lo largo de este artículo, no hemos notado cuán anticuada es la tecnología. En resumen, DNS no es la mejor opción para una experiencia de navegación web moderna debido a algunos factores. Para empezar, no está encriptado y sin algunas consideraciones de validación vitales, eso evitaría que continúen muchos ataques de envenenamiento de DNS.

Una forma rápida de evitar que los ataques se vuelvan más fuertes es mediante una estrategia de registro simple. Esto lleva a cabo una comparación sencilla entre la solicitud y la respuesta para ver si coinciden.

Sin embargo, la respuesta a largo plazo (según los expertos) es utilizar las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC). Esta es una tecnología diseñada para combatir el envenenamiento del DNS y, en términos simples, establece diferentes niveles de verificación.

Profundizando, DNSSEC utiliza «criptografía de clave pública» como verificación. Esta es una forma de aprobar los datos como genuinos y confiables. Se almacena junto con su otra información de DNS, y el servidor recursivo la usa para verificar que ninguna de la información que recibe haya sido alterada.

En comparación con otros protocolos y tecnologías de Internet, DNSSEC es relativamente un bebé, pero es lo suficientemente maduro como para implementarse en el nivel raíz de Internet, aunque aún no es la corriente principal. El DNS público de Google es un servicio que admite DNSSEC en su totalidad, y aparecen más constantemente.

Aun así, todavía existen algunos inconvenientes con DNSSEC que vale la pena señalar:

• El protocolo no codifica respuestas. Esto significa que los atacantes aún pueden ‘escuchar’ el tráfico, aunque los ataques tendrán que ser más sofisticados para eludir DNSSEC.
• Debido a que DNSSEC usa registros adicionales para recopilar datos de DNS, existe otra vulnerabilidad llamada «enumeración de zona». Esto usa un registro para «recorrer» y recopilar todos los registros DNS dentro de una «zona» específica. Algunas versiones de este registro cifran los datos, pero otras aún no lo hacen.
• DNSSEC es un protocolo complejo y, como también es nuevo, a veces puede estar mal configurado. Por supuesto, esto puede erosionar los beneficios de usarlo y presentar más problemas en el futuro.

Aun así, DNSSEC es el futuro en el lado del servidor, al menos. En cuanto a usted, como usuario final, también existen algunas medidas preventivas que puede tomar.

Cómo puede prevenir el envenenamiento del DNS en el lado del cliente

Hay más formas de prevenir el envenenamiento del DNS en el lado del cliente, aunque ninguna por sí sola será tan sólida como la DNSSEC del lado del servidor implementada por un experto. Aún así, hay algunas casillas simples que puede marcar como propietario de un sitio:

• Utilice el cifrado de extremo a extremo para cualquier solicitud y respuesta. Los certificados Secure Sockets Layers (SSL) hacen un buen trabajo aquí.
• Emplee herramientas de detección de suplantación de identidad como Xarp. Estos escanean los paquetes de datos recibidos antes de enviarlos. Esto mitiga cualquier transferencia de datos maliciosa.
• El aumento de los valores de tiempo de vida (TTL) para su caché de DNS ayudará a eliminar las entradas maliciosas antes de que puedan llegar a los usuarios finales.
• Debe disponer de una buena estrategia de DNS, DHCP e IPAM (DDI). Consiste en su estrategia de DNS, el protocolo de configuración dinámica de host y la administración de direcciones IP. Es un proceso complejo pero necesario manejado por administradores de sistemas y expertos en seguridad de servidores.

Como usuario final, hay algunas cosas más que puede hacer para ayudar a prevenir el envenenamiento y la suplantación de identidad:

• Utilice una red privada virtual (VPN), ya que sus datos se cifrarán de un extremo a otro. También podrá utilizar servidores DNS privados, nuevamente con cifrado de extremo a extremo.
• Tome precauciones sencillas, como no hacer clic en enlaces no reconocidos y realizar análisis de seguridad periódicos.
• Vaciar su caché de DNS con regularidad también borra los datos maliciosos de su sistema. Es algo que lleva unos segundos y es sencillo de realizar.

Si bien no puede eliminar el envenenamiento del DNS en su totalidad, puede evitar que suceda lo peor. Como usuario final, no tiene mucho control sobre cómo el servidor maneja los ataques. Del mismo modo, los administradores de sistemas no pueden controlar lo que sucede en el navegador. Como tal, es un esfuerzo de equipo para evitar que el más dañino de los ataques afecte a toda la cadena.

Imagínese esto: un visitante es enviado a lo que parece su sitio … pero es una versión fraudulenta dañina. 😱 Ponga fin a los ataques de envenenamiento de DNS como este con la ayuda de esta guía ⬇️Haz clic para tuitear

Resumen

Los ataques por Internet son un lugar común. El envenenamiento de DNS (o suplantación de identidad) es un ataque común que puede afectar a millones de usuarios si no se controla. Esto se debe a que el protocolo DNS es antiguo y no es adecuado para la navegación web moderna, aunque hay tecnologías más nuevas en el horizonte.

En resumen, el envenenamiento de DNS redirige a un usuario final a una versión fraudulenta de un sitio web existente. Es una forma de robar datos e infectar sistemas con malware. No hay una forma infalible de evitarlo por completo, pero pueden contenerlo a través de algunas medidas simples.

¿Alguna vez ha sido víctima de envenenamiento o suplantación de DNS y, de ser así, cuál fue la causa? ¡Comparta su experiencia con nosotros en la sección de comentarios a continuación!