{"id":14290,"date":"2019-04-03T12:04:42","date_gmt":"2019-04-03T18:04:42","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14290"},"modified":"2019-11-22T02:50:22","modified_gmt":"2019-11-22T08:50:22","slug":"grand-theft-dns-rsa2019","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/14290\/","title":{"rendered":"RSAC 2019: la manipulaci\u00f3n del DNS"},"content":{"rendered":"

En la conferencia RSA 2019, el Instituto SANS inform\u00f3 sobre nuevas variedades de ataque que consideraban altamente peligrosas. En esta publicaci\u00f3n hablaremos sobre una de ellas.<\/p>\n

Ed Skoudis, instructor del Instituto SANS, llam\u00f3 la atenci\u00f3n sobre un ataque que puede utilizarse para tomar el control total de la infraestructura inform\u00e1tica de una compa\u00f1\u00eda sin necesidad de herramientas demasiado complejas, tan solo con una simple manipulaci\u00f3n del DNS.<\/p>\n

<\/strong><\/p>\n

Manipulaci\u00f3n de la infraestructura del DNS empresarial <\/strong><\/h2>\n

As\u00ed funciona el ataque:<\/p>\n

    \n
  1. Los cibercriminales recopilan (por todos los medios) contrase\u00f1a y nombre de usuario de cuentas comprometidas, de las cuales actualmente hay cientos de millones, si no miles de millones<\/a>, en bases de datos conocidas.<\/li>\n
  2. Utilizan estas credenciales para iniciar sesi\u00f3n en servicios de proveedores de DNS y de registradores de dominio.<\/li>\n
  3. Despu\u00e9s, los intrusos modifican los registros del DNS, sustituyendo la infraestructura del dominio corporativo por las suyas propias.<\/li>\n
  4. En concreto, modifican el registro MX<\/a> e interceptan los mensajes redirigiendo todos los correos electr\u00f3nicos corporativos a su propio servidor de correo.<\/li>\n
  5. Los ciberdelincuentes registran certificados TLS para los dominios robados. Entonces, ya pueden interceptar el correo corporativo y proporcionar una prueba de la propiedad del dominio, que en la mayor\u00eda de los casos es todo lo que se necesita para emitir un certificado.<\/li>\n<\/ol>\n

    Despu\u00e9s, los atacantes pueden redireccionar el tr\u00e1fico que se dirige a los servicios de la compa\u00f1\u00eda a sus propias m\u00e1quinas. Como resultado, los visitantes de la p\u00e1gina web de la empresa acceden a sitios falsos que parecen aut\u00e9nticos para todos los filtros y sistemas de protecci\u00f3n. Ya nos enfrentamos por primera vez a esta situaci\u00f3n en el 2016, cuando los investigadores de nuestro equipo GReAT en Brasil destaparon un ataque que permiti\u00f3 a los intrusos secuestrar la infraestructura de un banco importante<\/a>.<\/p>\n

    Lo realmente peligroso de este ataque es que la v\u00edctima pierde el contacto con el mundo exterior. Secuestran el correo electr\u00f3nico y, normalmente, tambi\u00e9n los tel\u00e9fonos (la gran mayor\u00eda de las empresas utilizan telefon\u00eda IP). Todo esto complica tanto la respuesta al incidente como la comunicaci\u00f3n con las organizaciones externas: proveedores de DNS, autoridades de certificaci\u00f3n, fuerzas del orden y dem\u00e1s. \u00bfTe imaginas que todo esto tenga lugar en una semana? \u00a1Pues ese es el caso de este banco brasile\u00f1o!<\/p>\n

    C\u00f3mo evitar el secuestro de tu infraestructura inform\u00e1tica manipulando el DNS<\/strong><\/h2>\n

    \u00a0<\/strong>Lo que en el 2016 no era m\u00e1s que una innovaci\u00f3n en el mundo del cibercrimen, se convirti\u00f3 en un par de a\u00f1os en una pr\u00e1ctica com\u00fan. De hecho, en el 2018, muchas empresas l\u00edderes en seguridad de TI registraron su uso. As\u00ed que no es una falsa amenaza, sino un ataque muy espec\u00edfico que podr\u00eda utilizarse para apoderarse de tu infraestructura inform\u00e1tica.<\/p>\n

    He aqu\u00ed unas sugerencias de Ed Skoudis para protegerte contra la manipulaci\u00f3n de los nombres de dominio de tu infraestructura:<\/p>\n