Seguridad de DNS

DNS no se diseñó con la mente puesta en la seguridad, y hay muchos tipos de ataques creados para explotar las vulnerabilidades en el sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Seguridad de DNS

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Entender qué es DNSSEC y cómo funciona
  • Familiarizarse con los ataques de DNS más comunes
  • Distinguir entre DNSSEC y otras soluciones de seguridad de DNS

¿Por qué es importante la seguridad DNS?

Las consultas estándar DNS, que se requieren para casi todo el tráfico web, crean oportunidades para vulnerabilidades de DNS, tales como secuestro de DNS y ataques de intermediario. Estos ataques pueden redirigir al tráfico entrante en un sitio web a una copia falsa del sitio web, recopilando información confidencial del usuario y exponiendo a los negocios a una mayor responsabilidad. Una de las mejores formas de protegerse contra las amenazas de DNS es adoptar el protocolo DNSSEC.

¿Qué es DNSSEC?

Como muchos protocolos de internet, el sistema DNS no se diseñó con la seguridad puesta en mente e incluye varias limitaciones de diseño. Estas limitaciones, unidas a los avances en tecnología, han hecho que sea fácil para los atacantes secuestrar una búsqueda de DNS con fines maliciosos, tales como enviar a un usuario a un sitio web fraudulento que puede distribuir malware (software malicioso) o recopilar información personal. Las extensiones de seguridad de DNS (DNSSEC) son un protocolo de seguridad creado para mitigar este problema. DNSSEC protege contra ataques firmando datos digitalmente para asegurarse de su validez. Para garantizar una búsqueda segura, la firma debe hacerse en cada nivel del proceso de búsqueda de DNS.

Como muchos protocolos de internet, el sistema DNS no se diseñó con la seguridad puesta en mente e incluye varias limitaciones de diseño. Estas limitaciones, unidas a los avances en tecnología, han hecho que sea fácil para los atacantes secuestrar una búsqueda de DNS con fines maliciosos, tales como enviar a un usuario a un sitio web fraudulento que puede distribuir malware o recopilar información personal.


Las extensiones de seguridad de DNS (DNSSEC) son un protocolo de seguridad creado para mitigar este problema. DNSSEC protege contra ataques firmando datos digitalmente para asegurarse de su validez. Para garantizar una búsqueda segura, la firma debe hacerse en cada nivel del proceso de búsqueda de DNS.


Este proceso de firma es similar a cuando alguien firma un documento legal con un bolígrafo; esa persona firma con una firma única que nadie más puede crear, y un tribunal de expertos puede examinar esa firma y verificar si ese documento lo firmó esa persona. Estas firmas digitales garantizan que los datos no se han alterado.


DNSSEC implementa una política de firmas digitales jerárquica a lo largo de todas las capas de DNS. Por ejemplo, en el caso de una búsqueda de ‘google.com’, un servidor de DNS raíz firmaría una clave para el servidor de nombres .COM, y el servidor de nombres .COM entonces firmaría una clave para el servidor de nombres autoritativos de google.com.


Aunque siempre es siempre preferible mejorar la seguridad, DNSSEC está diseñado para asegurar la compatibilidad hacia atrás para garantizar que las búsquedas tradicionales de DNS se sigan resolviendo correctamente, pero sin la seguridad añadida. DNSSEC está diseñado para funcionar con otras medidas de seguridad, como SSL/TLS como parte de una estrategia integral de seguridad.


DNSSEC crea un tren de confianza padre-hijo que recorre todo el trayecto hasta la zona raíz. Esta cadena de confianza no se puede comprometer en ninguna capa de DNS, en caso contrario la solicitud estaría abierta a un ataque de intermediario.


Para cerrar la cadena de confianza, la propia zona de raíz tiene que ser validada (en caso de que esté libre de manipulación o fraude) y esto generalmente se hace usando la intervención humana. En la denominada ceremonia de firma de zona raíz, personas seleccionadas de todo el mundo se encuentran para firmar la raíz DNSKEY RRset de forma pública y auditada.

Aquí se explica de forma más detallada el funcionamiento de DNSSEC >>>

¿Cuáles son los ataques frecuentes que afectan a DNS?

DNSSEC es un protocolo de seguridad potente, pero lamentablemente no está adoptado universalmente. Esta falta de adopción unida a otras vulnerabilidades potenciales, además del hecho de que DNS es una parte integral de la mayoría de las solicitudes de Internet, convierte a DNS en un objetivo prioritario para los ataques maliciosos. Los atacantes han encontrado varias formas para atacar y explotar a los servidores DNS, estas son algunas de las más comunes.

Suplantación de DNS/envenenamiento de caché: Este es un ataque en el que se introducen datos falsificados en una caché de solucionador de DNS, lo que hace que el solucionador devuelva una dirección IP incorrecta para un dominio. En vez de ir al sitio web correcto, se puede desviar el tráfico a un equipo malicioso o a cualquier lugar que quiera el atacante, a menudo esto será una réplica del sitio original usado con fines maliciosos, tales como distribuir malware o recopilar información de inicio de sesión.

Tunelización DNS: El ataque usa otros protocolos para abrir un túnel a través de las consultas y respuestas de DNS. Los atacantes pueden usar SSH, TCP, o HTTP para hacer pasar información robada o de malware (software malicioso) en consultas DNS, sin que las detecten la mayoría de los firewalls.

Secuestro de DNS: En el secuestro de DNS el atacante redirige las consultas a un servidor de nombres de dominio diferente. Esto se puede hacer o bien con malware o con la modificación no autorizada de un servidor de DNS. Aunque el resultado es similar al de la suplantación de DNS, es un ataque esencialmente diferente, ya que ataca el registro DNS del sitio web en el servidor de nombres, en vez de una caché de solucionador.

DNS Hijacking

Ataque NXDOMAIN: Este es un tipo de ataque de inundación DNS en el que un atacante inunda un servidor DNS con solicitudes, pidiendo registros que no existen, con el objetivo de ocasionar una denegación de servicio para el tráfico legítimo. Esto se puede lograr usando herramientas sofisticadas de ataque que puede auto-generar subdominios únicos para cada solicitud. Los ataques de NXDOMAIN también pueden dirigirse contra un solucionador recursivo con el objetivo de llenar la caché del solucionador con solicitudes basura.

Ataque de dominio fantasma: Un ataque de dominio fantasma tiene un resultado similar al de un ataque de NXDOMAIN en un solucionador DNS. El atacante configura una serie de servidores de dominio “fantasmas” que o bien responden a las solicitudes muy despacio o no responden en absoluto. A continuación el solucionador recibe un aluvión de solicitudes a estos dominios y el solucionador se quedará atado esperando respuestas, con la consecuencia de un funcionamiento ralentizado y la denegación de servicio.

Ataque aleatorio a subdominio: En este caso, el atacante envía consultas DNS para varios subdominios aleatorios inexistentes del sitio legítimo. El objetivo es crear una denegación de servicio para el servidor de nombres autoritativos de dominio, haciendo que sea imposible buscar el sitio web desde el servidor de nombres. Como un efecto lateral, el ISP que sirve al atacante también puede verse afectado, ya que su caché de solucionador recursivo se cargará con malas solicitudes.

Ataque de cierre de dominio: Los actores maliciosos orquestan esta forma de ataque configurando dominios especiales y solucionadores para crear conexiones de TCP con otros solucionadores legítimos. Cuando los solucionadores atacados envían solicitudes, estos dominios enviarán de vuelta oleadas ralentizadas de paquetes aleatorios, atando los recursos del solucionador.

Ataque CPE basado en red de robots (botnet): Estos ataques se realizan usando dispositivos CPE (equipo local del cliente, este es el hardware otorgado por los proveedores de servicio para ser utilizados por sus clientes, incluyendo módems, routers, cajas de cables, etc.). Los atacantes comprometen* a los CPE y los dispositivos se convierten en parte de una red de robots (botnet), usados para realizar ataques de subdominio contra un sitio o dominio.

¿Cuál es la mejor forma de protegerse contra los ataques basados en DNS?

En adicción a DNSSEC, un operador de una zona DNS puede tomar medidas adicionales para asegurar a sus servidores. El sobre-aprovisionamiento de infraestructuras es una estrategia simple para superar ataques DDoS En pocas palabras, si su servidor de nombres puede gestionar varias veces más tráfico de lo que usted espera, será más difícil que un ataque basado en volumen abrume a su servidor.


El enrutamiento Anycast es otra herramienta práctica que puede interrumpir ataques DDoS, Anycast permite que múltiples servidores compartan una dirección IP simple, para que si incluso se cierra un servidor de DNS, siga habiendo otros activos y ofreciendo servicio. Otra estrategia popular para asegurar los servidores de DNS es un DNS Firewall.

¿Qué es un DNS firewall?

Un DNS Firewall es un herramienta que ofrece diversos servicios de seguridad y funcionamiento para los servidores de DNS Un DNS Firewall se ubica entre un solucionador recursivo del usuario y el servidor de nombres autoritativo del sitio web o el servicio al que están intentando acceder. El firewall puede ofrecer servicios de Rate Limiting para cerrar el acceso a los atacantes que intentan inundar el servidor. Si el servidor experimenta un tiempo de inactividad como resultado de un ataque o por cualquier otra razón, el DNS Firewall podrá mantener en funcionamiento el sitio o servicio del operador sirviendo respuestas DNS desde la caché. Además de sus funciones de seguridad, un DNS Firewall también puede ofrecer soluciones de funcionamiento tales como búsquedas de DNS más rápidas y costes de ancho de banda reducidos para el operador de DNS. Más información acerca del DNS firewall de Cloudflare.

Un DNS Firewall es un herramienta que ofrece diversos servicios de seguridad y funcionamiento para los servidores de DNS. Un DNS Firewall se ubica entre un solucionador recursivo del usuario y el servidor de nombres autoritativo del sitio web o el servicio al que están intentando acceder. El firewall puede ofrecer servicios de Rate Limiting para cerrar el acceso a los atacantes que intentan inundar el servidor.


Si el servidor experimenta un tiempo de inactividad como resultado de un ataque o por cualquier otra razón, el DNS Firewall podrá mantener en funcionamiento el sitio o servicio del operador sirviendo respuestas DNS desde la caché. Además de sus funciones de seguridad, un DNS Firewall también puede ofrecer soluciones de funcionamiento tales como búsquedas de DNS más rápidas y costes de ancho de banda reducidos para el operador de DNS. Más información acerca del DNS firewall de Cloudflare.

DNS como una herramienta de seguridad

Los solucionadores de DNS también se pueden configurar para ofrecer soluciones de seguridad para sus usuarios finales (personas que navegan en Internet). Algunos solucionadores de DNS ofrecen funciones tales como filtración de contenidos que pueden bloquear sitios conocidos para distribuir malware y spam, y protección de red de robots (botnet), que bloquea la comunicación con redes de robots (botnet) conocidas. Muchos de estos solucionadores de DNS asegurados son de uso gratuito y un usuario puede cambiar a uno de estos servicios de DNS recursivos cambiando una simple configuración en su router local. El DNS de Cloudflare pone el énfasis en la seguridad.