Saltar al contenido principal

¿Qué es el secuestro de DNS?

Un conjunto de servidores DNS secuestrados.

El secuestro del Sistema de nombres de dominio (DNS) es una amenaza grave para tu sistema y puede tener consecuencias muy costosas. Como el ataque permite a un tercero malicioso tomar el control de la configuración del DNS y redirigir a los usuarios a sitios web fraudulentos, esto puede afectar a muchos usuarios diferentes. Para entender bien el secuestro de DNS, es importante tener una idea general de lo que es el DNS y lo que hace.

En resumen, el DNS se utiliza para rastrear, catalogar y regular sitios web en todo el mundo. Permite a los usuarios acceder a información al transformar un nombre de dominio (como k aspersky.com) en la dirección IP que necesita el navegador del usuario para cargar recursos de Internet (como páginas web o artículos de blog). Si quieres conocer más a fondo cómo funciona el DNS, lee nuestro artículo sobre Suplantación de DNS y envenenamiento de caché.

Ahora que tienes una mejor idea de lo que es el DNS y cuál su propósito, analicemos más a fondo qué es un secuestro de DNS.

  • ¿Qué es el secuestro de DNS?
  • ¿Cómo funciona el secuestro de DNS?
  • ¿Cómo detectar el secuestro de DNS?
  • ¿Cómo prevenir el secuestro de DNS?
  • Preguntas frecuentes sobre el secuestro de DNS

¿Qué es el secuestro de DNS?

El secuestro del sistema de nombres de dominio, también conocido como ataque de redireccionamiento DNS, se produce cuando las consultas de DNS enviadas desde el navegador de una víctima se resuelven de forma incorrecta, redirigiendo al usuario a un sitio web malicioso.

Mientras que algunos ataques de suplantación de DNS, como el envenenamiento de la caché DNS (en el que el sistema registra la dirección IP fraudulenta en la caché de memoria local), se centran en la modificación de los registros DNS, el secuestro de DNS implica el cambio de la propia configuración del DNS, a menudo mediante la instalación de malware en las computadoras de la víctima. Esto permite al hacker tomar el control de sus enrutadores, interceptar las señales DNS o simplemente piratear las comunicaciones del DNS. El secuestro de DNS suele ser uno de los tipos de ataques más perjudiciales para el Sistema de nombres de dominio en general.

Es un gran problema tanto para usuarios personales como para empresas. En el caso de un solo usuario, permite a los secuestradores llevar a cabo una estafa de phishing (en la que se muestran versiones falsas de sitios web legítimos a las víctimas, que roban datos del usuario como contraseñas, credenciales de inicio de sesión e información de tarjetas de crédito). Sin embargo, en el caso de una página web orientada al consumidor (perteneciente a una empresa, por ejemplo), permite a los ciberdelincuentes redirigir a los visitantes del sitio web de la empresa a páginas fraudulentas creadas por ellos. Una vez que los usuarios están allí, estas páginas web creadas por los hackers pueden volver a utilizarse para robar credenciales de inicio de sesión y datos personales confidenciales. Esto podría incluir información de los empleados relativa al funcionamiento interno de la empresa o incluso datos financieros confidenciales. Como resultado de este ataque, pueden incluso recopilar información de correos electrónicos oficiales entrantes. En general, el secuestro de DNS puede ser un ataque costoso contra los datos y la privacidad.

Curiosamente, muchos ISP (proveedores de servicios de Internet) y gobiernos reconocidos utilizan un tipo de secuestro de DNS para tomar el control de las solicitudes de DNS de sus usuarios. Los ISP hacen esto para recopilar estadísticas y proporcionar anuncios cuando los usuarios visitan espacios de dominio desconocidos. Hacen esto al redirigirte a su sitio web, donde tienen sus anuncios, en lugar de darte un mensaje de error. Los gobiernos usan el secuestro de DNS para censurar y para redirigir de forma segura a los usuarios a dominios o páginas web autorizados por el gobierno.

¿Cómo funciona el secuestro de DNS?

Cuando escribes la dirección de un sitio web en un navegador, este recopila la información de la página web de la caché de tu navegador local (si visitaste el sitio recientemente), o envía una consulta DNS al servidor de nombres (por lo general, proporcionado por un proveedor de servicios de Internet de confianza). El punto de comunicación entre el navegador que envía la solicitud DNS y la respuesta del servidor de nombres es el más vulnerable a los ataques, porque no está cifrado. Es en este punto donde los hackers interceptan la consulta y redirigen al usuario a uno de sus sitios web maliciosos para extorsionarlo. Existen cuatro tipos diferentes de secuestro de DNS que los ciberdelincuentes utilizan hoy en día: "local", "del enrutador", "fraudulento" y "de intermediario".

Secuestro local: en este caso, un hacker instala un troyano malicioso en el sistema para atacar la configuración de DNS local. Después del ataque, puede cambiar esta configuración local para que apunte directamente a sus propios servidores DNS (por ejemplo, en lugar de a un servidor predeterminado). A partir de aquí, todas las solicitudes realizadas por el navegador de la víctima se enviarían a los servidores del hacker y podrían devolver lo que este quiera. También pueden apuntar a otros servidores web maliciosos en general.

Secuestro del enrutador: al contrario de lo que algunos puedan pensar, el secuestro del enrutador suele ser el primer punto de ataque para muchos ciberdelincuentes. Esto se debe a que muchos enrutadores tienen contraseñas predeterminadas o vulnerabilidades de firmware existentes, que los hackers pueden encontrar fácilmente (muchas empresas no se toman la molestia de individualizar las credenciales de inicio de sesión de sus enrutadores). Una vez que los hackers iniciaron sesión, modifican la configuración DNS y especifican un servidor DNS preferido (por lo general, de su propiedad), de modo que la conversión de una dirección web a una dirección IP esté controlada únicamente por ellos. A partir de aquí, las solicitudes del navegador de los usuarios se reenvían a sitios maliciosos. Esto es especialmente grave, ya que no afecta solo a un usuario, sino a todos los usuarios conectados al enrutador infectado.

Secuestro fraudulento: este tipo de ciberdelito es mucho más complicado que el secuestro local porque no se puede controlar desde el dispositivo objetivo. En su lugar, los hackers secuestran el servidor de nombres existente del ISP para cambiar las entradas seleccionadas. Como resultado, las víctimas desprevenidas acceden aparentemente al servidor DNS correcto, que en realidad fue infiltrado por los hackers. Luego, los ciberdelincuentes cambian los registros DNS para redirigir las peticiones DNS del usuario a un sitio web malicioso. Debido a que los ISP han adoptado normas de ciberseguridad más estrictas, este ataque es mucho más escaso y difícil de llevar a cabo. Cuando se produce este ataque, afecta potencialmente a un gran número de usuarios, ya que cualquiera que resuelva sus consultas a través de este servidor puede ser una víctima.

Ataques de intermediario: este tipo de ataque se centra en la intercepción de las comunicaciones entre tú y el DNS. Utilizando herramientas especializadas, el hacker interrumpe la comunicación entre un cliente y el servidor, debido a la falta de cifrado presente en muchas solicitudes de DNS. Los usuarios solicitantes reciben entonces una dirección IP de destino diferente, que apunta a un sitio web malicioso. Esto también puede utilizarse como un tipo de ataque de envenenamiento de caché de DNS tanto en el dispositivo local como en el propio servidor DNS. El resultado es muy parecido al anterior.

una pantalla que muestra que se detectó un ataque de DNS.

Cómo detectar el secuestro de DNS

Por suerte, hay varias formas diferentes y simples de verificar si alguien pirateó tu DNS. En primer lugar, es importante saber que si algunos de los sitios web que utilizas habitualmente se cargan más despacio de lo normal o recibes más anuncios emergentes aleatorios (que suelen indicarte que tu computadora está "infectada"), es muy probable que hayan pirateado el DNS. Sin embargo, solo con estos síntomas es imposible asegurarlo. Por eso, a continuación, te ofrecemos una serie de pruebas prácticas que puedes realizar con tu equipo:

Haz una prueba de "comando pin"

Un comando ping se usa, en esencia, para ver si una dirección IP existe realmente. Si tu navegador está haciendo ping a una dirección IP inexistente y sigue resolviendo, hay una alta probabilidad de que tu DNS haya sido pirateado. Esto se puede hacer en equipos Mac y Windows. En una Mac, haz lo siguiente:

Abre el Terminal y escribe el siguiente comando:

Ping kaspersky123456.com

si la respuesta es "no se puede resolver" tu DNS está bien.

Si usas una computadora con Windows, solo tienes que hacer lo siguiente:

Abre el símbolo del sistema y escribe lo siguiente:

ping kaspersky123456.com

si la respuesta es "no se puede resolver" tu DNS está bien.

Comprobar el enrutador o usar un "comprobador de enrutador".

Muchas páginas web ofrecen esta prueba. Los servicios de comprobación de enrutadores digitales funcionan comprobando el sistema con un DNS resolver confiable y viendo si estás usando un servidor DNS autorizado. Alternativamente, puedes ir a la página de administración del enrutador en línea y comprobar la configuración de DNS allí.

Usar WholsMyDNS.com

Este servicio en línea muestra los servidores DNS que estás usando y la empresa propietaria de estos servidores. En general, tu navegador usa la dirección IP de los servidores DNS proporcionados por tu ISP. Si el nombre de la empresa no te resulta familiar, es posible que tu DNS haya sido secuestrado.

Si estás seguro de que tus servidores DNS fueron pirateados, o si te ocurrió antes, te recomendamos que utilices un servicio de DNS público alternativo, como los servidores DNS públicos de Google.

¿Cómo prevenir el secuestro de DNS?

Ya sea que se trate de un caso de secuestro de DNS local, en el enrutador o fraudulento, siempre es mejor evitar el ataque de piratería en primer lugar. Afortunadamente, hay una serie de medidas que puedes tomar para reforzar la seguridad de tu DNS y la seguridad de tus datos en su conjunto.

Nunca hagas clic en un vínculo sospechoso o desconocido: esto incluye vínculos en correos electrónicos, mensajes de texto o a través de las redes sociales. Recuerda que las herramientas que acortan las URL pueden enmascarar aún más los destinos de los vínculos peligrosos, así que evítalas en la medida de lo posible. Aunque puede llevar tiempo, siempre debes optar por escribir manualmente una URL en el navegador (pero solo después de confirmar que es legítima).

Usa un software antivirus de confianza: siempre es una buena práctica analizar regularmente la computadora en busca de malware y actualizar el software cuando se te lo solicite. El software de seguridad del sistema te ayudará a descubrir y eliminar cualquier infección resultante de un secuestro de DNS, en especial si fue infectado por malware troyano durante un secuestro local. Dado que los sitios web maliciosos pueden distribuir todo tipo de programas maliciosos y adware, deberías realizar análisis constantes en busca de virus, spyware y otros problemas ocultos.

Usar una red privada virtual (VPN): una VPN te brinda un túnel digital cifrado para todas tus consultas y tráfico de sitios web. Las VPN más conocidas usan servidores DNS privados que emplean exclusivamente solicitudes cifradas de extremo a extremo para proteger tu equipo local y sus servidores DNS. El resultado es que los servidores reciben solicitudes que no pueden ser interrumpidas, lo que reduce radicalmente la probabilidad de un secuestro de DNS de intermediario.

Cambiar la contraseña (y el nombre de usuario) de tu enrutador: esto parece relativamente simple y obvio, pero muchos usuarios no toman esta precaución. Como ya mencionamos, es muy fácil descifrar los datos de acceso predeterminados de un enrutador, porque rara vez se modifican. Al crear una nueva contraseña, siempre recomendamos utilizar una contraseña "fuerte" (de unos 10 a 12 caracteres de longitud, que contenga una mezcla de caracteres especiales, números y letras mayúsculas y minúsculas).

Estar atento: si te encuentras en un sitio web con el que no estás familiarizado y te muestra diferentes ventanas emergentes, páginas de destino y pestañas que nunca antes habías visto, debes abandonar la página de inmediato. Estar atento a las señales de advertencia digitales es el primer paso para mejorar la ciberseguridad.

Sin embargo, si eres propietario de un sitio web, hay varias formas de evitar un secuestro de DNS.

Limitar el acceso al DNS: limitar el acceso a la configuración de tu DNS a solo unos pocos miembros de tu equipo de TI dedicado limita que posibles ciberdelincuentes oportunistas se aprovechen de los miembros del equipo. Además, asegúrate de que esos pocos elegidos utilicen la autenticación de dos factores siempre que accedan al registrador de DNS.

Habilitar el bloqueo de clientes: hay algunos registradores de DNS que permiten el "bloqueo de clientes", que impide cualquier cambio en los registros DNS sin aprobación. Te recomendamos que lo actives siempre que puedas.

Usar un registrador que admita DNSSEC: las Extensiones de seguridad del sistema de nombres de dominio son una especie de etiqueta "real verificada", que ayuda a mantener la autenticidad de una búsqueda DNS. Como resultado, hace que sea más difícil para los hackers interceptar las solicitudes que hace el DNS.

No seas vulnerable al secuestro de DNS y a otras formas de ataques de malware. Kaspersky Security Solutions te permite mantener la actividad en línea segura y privada, a través de múltiples dispositivos. Obtén más información ya mismo.

Preguntas frecuentes sobre el secuestro de DNS

¿Qué es el secuestro de DNS?

El secuestro del sistema de nombres de dominio, también conocido como ataque de redireccionamiento de DNS, se produce cuando las consultas de DNS enviadas desde el navegador de una víctima se interceptan y se resuelven de forma incorrecta, redirigiendo al usuario a un sitio web malicioso. El DNS puede secuestrarse localmente con malware, a través del enrutador, mediante intercepción o a través del servidor de nombres.

¿Cómo funciona el secuestro de DNS?

El secuestro de DNS funciona atacando el punto de comunicación entre el navegador que envía una solicitud de DNS y la respuesta del servidor de nombres, ya que a menudo no está cifrada. En esta intercepción, un hacker puede redirigirte a uno de sus sitios web maliciosos para extorsionarte.

¿Cómo puedo detener un secuestro de DNS?

Hay varias formas de detener y prevenir el secuestro de DNS. En el caso de los usuarios particulares, no deben hacer clic en vínculos sospechosos ni visitar dominios con muchas ventanas emergentes. Deben utilizar un buen software antivirus, cambiar el nombre de usuario y la contraseña del enrutador y acceder a la web utilizando una VPN.

Productos relacionados:

Artículos y enlaces relacionados:

¿Qué es el secuestro de DNS?

¿Necesitas saber qué es un ataque de secuestro de DNS, y cómo detectarlo y prevenirlo? Haz clic aquí para descubrir todo lo que necesitas saber sobre el secuestro de DNS.
Kaspersky logo

Artículos relacionados