DNS son las siglas en inglés de "sistema de nombres de dominio", que se puede describir como el índice de Internet. Permite que el usuario acceda a la información al traducir el nombre de un dominio (como kaspersky.com) a la dirección IP correspondiente que un navegador necesita para cargar los recursos de Internet (p. ej., artículos como este). Como sistema, DNS se utiliza para rastrear, catalogar y regular sitios web en todo el mundo.
Para tener un panorama más detallado de qué es DNS, debemos observar cómo funciona. Sin embargo, es importante aclarar primero los términos involucrados en este tema:
Una dirección de Protocolo de Internet (IP) es el número que se le asigna a cada computadora y servidor único. Estos ID son lo que las computadoras usan para encontrarse y "hablar" entre sí.
Un dominio (o nombre de dominio) es un nombre de texto que las personas utilizan para recordar, identificar y conectarse a sitios web específicos y a sus servidores. Por ejemplo, el dominio "www.kaspersky.com" se utiliza como una forma simple de comprender el ID del servidor objetivo; es decir, una dirección IP.
Los servidores del sistema de nombres de dominio (servidores DNS o servidores de nombres DNS) son un conjunto de cuatro tipos de servidores que componen el proceso de "búsqueda de DNS". Incluyen el servidor de nombres de resolución, servidores de nombres raíz, servidores de nombres de dominio de primer nivel (TLD) y servidores de nombres autoritativos. Para entender mejor la información, especifiquemos los detalles de cada uno de estos servidores:
- Servidor de nombres de resolución (o solucionador recursivo) es el componente traductor del proceso de búsqueda de DNS. Está diseñado para recibir consultas del cliente (a través de un navegador web o una aplicación) y luego comunicar esas consultas a una serie de servidores web (enumerados a continuación) a fin de encontrar la dirección IP objetivo de un nombre de dominio. Puede responder con datos previamente almacenados en caché o enviar la consulta a un servidor de nombres raíz. El servicio de solucionador recursivo está en constante comunicación con los siguientes servidores durante un proceso de búsqueda.
- Servidor de nombre raíz (servidor raíz) es donde se inician todas las búsquedas de DNS. Si imaginas el DNS como una jerarquía, la "zona raíz" estaría en la parte superior. Un servidor raíz es un servidor de nombres DNS que opera en la zona raíz. A menudo funciona como punto de referencia en el proceso de una búsqueda.
- El servidor de nombres de dominio de primer nivel (TLD) se encuentra a un nivel por debajo de la zona raíz. Es la siguiente fase de la búsqueda; contiene información para todos los nombres de dominio que incluyen una "extensión de dominio" común (.com, .net, etc.).
- El servidor de nombres autoritativos es la parte final de la búsqueda y contiene información específica del nombre de dominio buscado. Puede brindar el servidor de nombres de resolución con la dirección IP correcta.
Ahora que establecimos la definición de DNS y tenemos una comprensión general del DNS y sus servidores, podemos examinar cómo funciona exactamente.
¿Cómo funciona DNS?
Cuando buscas un sitio web a través de un nombre de dominio en el navegador, comienzas un proceso que se denomina "búsqueda". El recorrido completo de búsqueda tiene 6 etapas:
- El navegador web y el sistema operativo (SO) intentan evocar la dirección IP vinculada al nombre de dominio. Si la visitaste antes, se puede evocar la dirección IP del almacenamiento interno o la memoria caché de la computadora.
- El proceso continúa si ningún componente sabe dónde está la dirección IP de destino.
- El SO consulta al servidor de nombres de resolución sobre la dirección IP. Esta consulta inicia la búsqueda a través de la cadena del servidor del sistema de nombres de dominio para encontrar la dirección IP correspondiente al dominio.
- La consulta primero llega al servidor de nombres raíz, que envía la consulta al servidor de TLD (a través del solucionador).
- El servidor de TLD luego transmite tu consulta o la dirige al servidor de nombres autoritativos (también a través del solucionador).
- Por último, el solucionador, a través de la comunicación con el servidor de nombres autoritativos, encuentra y envía la dirección IP al SO, que la reenvía al navegador web y así se abre el sitio web o la página que solicitaste.
El proceso de búsqueda de DNS es el marco fundamental que todo Internet utiliza. Lamentablemente, los delincuentes pueden explotar las vulnerabilidades de DNS, lo que significa que debes prestar atención a posibles estafas por medio de redirecciones, a menudo llamadas "suplantación" y "envenenamiento". Para evitar estas amenazas, expliquemos qué es la suplantación de DNS y el envenenamiento de DNS, y cómo funcionan.
Definición de suplantación y envenenamiento de DNS
La suplantación y el envenenamiento del Sistema de nombres de dominio (DNS) son tipos de ciberataques que aprovechan las vulnerabilidades del servidor DNS para desviar el tráfico de los servidores legítimos y dirigirlo hacia los falsos. Una vez que llegas a la página fraudulenta, sientes confusión por no saber cómo resolverlo, a pesar de que eres la única persona que puede hacerlo. Deberás saber exactamente cómo funciona para protegerte.
La suplantación de DNS y, por ende, el envenenamiento de caché de DNS están entre los ciberataques más engañosos. Si no entiendes cómo Internet te conecta con los sitios web, podrías pensar que el sitio web está hackeado. En algunos casos, solo tu dispositivo puede verse afectado. En casos peores, los paquetes de ciberseguridad solo pueden detener parte de las amenazas relacionadas con la suplantación de DNS.
Cómo funcionan la suplantación y el envenenamiento de caché de DNS
En cuanto al DNS, las amenazas más destacadas son dos:
- Suplantación de DNS es la amenaza resultante que imita destinos de servidores legítimos para redirigir el tráfico de un dominio. Las víctimas desprevenidas terminan en sitios web maliciosos, que es el objetivo que se deriva de varios métodos de ataques de suplantación de DNS.
- Envenenamiento de caché de DNS es un método de suplantación de DNS de usuario final, en el que el sistema registra la dirección IP fraudulenta en la memoria caché local. Esto genera que el DNS evoque el sitio malicioso específicamente para ti, incluso si se resuelve el problema o si nunca existió en el servidor.
Métodos para los ataques de suplantación o envenenamiento de caché de DNS
Entre los diferentes métodos de ataque de suplantación de DNS, estos son algunos de los más comunes:
Engaño del intermediario: cuando un atacante se entromete entre el navegador web y el servidor DNS. Se utiliza una herramienta para el envenenamiento simultáneo de caché en el dispositivo local y el envenenamiento del servidor DNS. Como resultado, se redirecciona a la víctima a un sitio malicioso que está alojado en el servidor local del atacante.
Secuestros de servidores DNS: el delincuente directamente reconfigura el servidor para redireccionar a todos los usuarios que envían una solicitud al sitio web malicioso. Una vez que se inyecta una entrada de DNS fraudulenta en el servidor DNS, cualquier solicitud de la dirección IP del dominio suplantado se redirecciona al sitio falso.
Envenenamiento de caché de DNS por spam: el código que logra el envenenamiento de caché de DNS suele encontrarse en direcciones URL enviadas a través de correo spam. La intención de estos correos es asustar a los usuarios para que hagan clic en la dirección URL proporcionada, lo que causa la infección del equipo. Los anuncios en banners publicitarios e imágenes, incluidos tanto en correos electrónicos como en sitios web poco confiables, también pueden dirigir a los usuarios a este código. Una vez envenenado, el equipo te llevará a sitios web falsos que están suplantados para imitar a los reales. En este momento ingresan las verdaderas amenazas a los dispositivos.
Riesgos de la suplantación y el envenenamiento de DNS
Estos son algunos riesgos comunes de la suplantación y el envenenamiento de DNS:
- Robo de datos
- Infección de malware
- Actualizaciones de seguridad detenidas
- Censura
La suplantación de DNS plantea varios riesgos y cada uno pone en peligro tus dispositivos y datos personales.
El robo de datos puede ser especialmente lucrativo para los atacantes que implementan la suplantación de DNS. Los sitios web de bancos y las tiendas en línea populares son un blanco fácil, lo que puede poner en peligro cualquier contraseña, tarjeta de crédito o información personal. Las redirecciones son a sitios web de phishing diseñados para recopilar tu información.
La infección de malware es otra amenaza común de la suplantación de DNS. Cuando una suplantación te redirecciona, el destino podría terminar siendo un sitio infectado con descargas maliciosas. Las descargas ocultas son una forma simple de automatizar la infección de tu sistema. A la larga, si no usas seguridad de Internet te expones a riesgos como spyware, keyloggers o gusanos.
Las actualizaciones de seguridad detenidas pueden ser consecuencia de una suplantación de DNS. Si los sitios suplantados incluyen proveedores de seguridad de Internet, no se llevarán a cabo actualizaciones de seguridad legítimas. Como resultado, tu equipo puede estar expuesto a amenazas adicionales, como virus o troyanos.
La censura es un riesgo que en realidad es habitual en algunas partes del mundo. Por ejemplo, China utiliza modificaciones al DNS para asegurarse de que todos los sitios web a los que se acceden dentro del país estén aprobados. Este bloqueo a nivel nacional, apodado el "Gran Firewall", es uno de los ejemplos del poder que puede tener la suplantación de DNS.
Eliminar el envenenamiento de caché de DNS es particularmente difícil. Dado que borrar un servidor infectado no libra a un equipo o dispositivo móvil del problema, el dispositivo vuelve al sitio suplantado. Además, los equipos limpios que se conectan a un servidor infectado vuelven a correr riesgo.
Cómo prevenir la suplantación y el envenenamiento de caché de DNS
Cuando se trata de prevenir la suplantación de DNS, las protecciones de usuario final son limitadas. Los propietarios de sitios web y proveedores de servidores tienen más capacidades para protegerse a ellos mismos y a sus usuarios. Para que todos se mantengan a salvo, ambas partes deben intentar evitar las suplantaciones.
Estas son las maneras de prevenir los ataques para propietarios de sitios web y proveedores de servidores DNS:
- Herramientas de detección de suplantación de DNS
- Extensiones de seguridad del sistema de nombres de dominio
- Cifrado de extremo a extremo
Puedes prevenir estas amenazas para los usuarios de endpoints de las siguientes maneras:
- Nunca hagas clic en un enlace que no reconozcas
- Analiza con regularidad tu equipo en busca de malware
- Borra la caché de DNS para resolver el envenenamiento
- Utiliza una red privada virtual (VPN)
Consejos de prevención para los propietarios de sitios web y proveedores de servidores DNS
Como propietario de un sitio web o proveedor de un servidor DNS, la responsabilidad de defender a los usuarios está firmemente en tus manos. Puedes implementar varias herramientas y protocolos de protección para bloquear las amenazas. Entre estos recursos, sería prudente usar algunos de los siguientes:
- Herramientas de detección de suplantación de DNS: como equivalente a los productos de seguridad para los usuarios de endpoints, estas herramientas de detección analizan de forma proactiva todos los datos que se reciben antes de enviarlos.
- Extensiones de seguridad del sistema de nombres de dominio (DNSSEC): el sistema DNSSEC, que básicamente es una etiqueta de “verificado real” de DNS, permite mantener una búsqueda de DNS auténtica y libre de suplantaciones.
- Cifrado de extremo a extremo: los datos cifrados, enviados a solicitudes DNS y respuestas, mantienen a los delincuentes alejados, ya que no pueden duplicar el certificado de seguridad único del sitio web legítimo.
Consejos de prevención para los usuarios
Los usuarios son particularmente vulnerables a estos tipos de amenazas. Para evitar ser víctima de un ataque de envenenamiento de DNS, debes seguir estos consejos simples:
- Nunca hagas clic en un enlace que no reconozcas. Esto incluye correos electrónicos, mensajes de texto o enlaces de redes sociales. Las herramientas que acortan direcciones URL pueden enmascarar destinos de enlaces, así que evita usarlas siempre que sea posible. Para garantizar tu seguridad, siempre opta por escribir manualmente una URL en la barra de direcciones. Pero hazlo solo después de confirmar que la dirección sea oficial y legítima.
- Analiza con regularidad tu equipo en busca de malware. Si bien es posible que no detectes envenenamiento de caché de DNS, tu software de seguridad te permite descubrir y eliminar infecciones resultantes. Dado que los sitios suplantados pueden crear todo tipo de programas maliciosos, debes realizar análisis constantemente en busca de virus, spyware y otros problemas ocultos (también se aplica a la inversa, ya que el malware podría crear suplantaciones). Haz esto siempre con un programa local en lugar de con una versión en línea, ya que el envenenamiento también podría suplantar los resultados basados en la web.
- Borra la caché de DNS para resolver el envenenamiento. El envenenamiento de caché permanece dentro de tu sistema a largo plazo a menos que borres los datos infectados. Este proceso puede ser tan simple como abrir el programa "Ejecutar" de Windows y escribir el comando "ipconfig /flushdns". Mac, iOS y Android también tienen opciones de borrado. Por lo general, se trata de restablecer la configuración de red, cambiar al modo avión, reiniciar el dispositivo o usar una dirección URL de un navegador web nativo específico. Busca el método de tu dispositivo específico para obtener ayuda.
- Usa una red privada virtual (VPN). Estos servicios ofrecen un túnel cifrado para todo el tráfico web y el uso de servidores DNS privados que utilizan exclusivamente solicitudes cifradas de extremo a extremo. Como resultado, obtienes servidores mucho más resistentes contra la suplantación de DNS y solicitudes que no se pueden interrumpir.
No quedes vulnerable a la suplantación de DNS y a los ataques de malware. Protégete hoy mismo con los productos de seguridad Kaspersky Home.
Artículos y enlaces relacionados:
- ¿Qué es la suplantación?
- ¿Qué es el pharming y cómo puedes protegerte?
- ¿Qué es una dirección IP y qué significa?
- Tipos de malware y ejemplos
Productos relacionados: