Seguridad de DNS

DNS no se diseñó con la mente puesta en la seguridad, y hay muchos tipos de ataques creados para explotar las vulnerabilidades en el sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Seguridad de DNS

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Entender qué es DNSSEC y cómo funciona
  • Familiarizarse con los ataques de DNS más comunes
  • Distinguir entre DNSSEC y otras soluciones de seguridad de DNS

¿Por qué es importante la seguridad de DNS?

Las consultas estándar DNS, que son necesarias para casi todo el tráfico web, crean oportunidades para aprovecharse del DNS, como el secuestro de DNS y los ataques de intermediario. Estos ataques pueden redirigir el tráfico entrante de un sitio web a una copia falsa del sitio, y recopilan información confidencial del usuario y, para mayor peligro, la revelan a empresas. Una de las formas más famosas para protegerse contra las amenazas de DNS es adoptar el protocolo DNSSEC.

¿Qué es DNSSEC?

Como muchos protocolos de Internet, el sistema DNS no se diseñó para tener en cuenta la seguridad y cuenta con varias limitaciones de diseño. Estas limitaciones, junto con los avances tecnológicos, han facilitado que los atacantes puedan secuestrar una búsqueda de DNS con un objetivo malicioso, como enviar a un usuario a un sitio web fraudulento que puede distribuir malware o recopilar información personal. Las Extensiones de seguridad para DNS (DNSSEC) son un protocolo de seguridad creado para mitigar este problema. DNSSEC protege ante ataques mediante la firma digital de datos para ayudar a garantizar su validez. Para garantizar una búsqueda segura, la firma se debe llevar a cabo en todos los niveles del proceso de búsqueda de DNS.

Como muchos protocolos de internet, el sistema de DNS no se diseñó teniendo en cuenta la seguridad y cuenta con numerosas limitaciones de diseño. Estas limitaciones, unidas a los avances en tecnología, han hecho que sea fácil para los atacantes secuestrar una búsqueda de DNS con fines maliciosos, tales como enviar a un usuario a un sitio web fraudulento que puede distribuir malware o recopilar información personal.


Las Extensiones de seguridad de DNS (DNSSEC) son un protocolo de seguridad creado para mitigar este problema. DNSSEC protege antes ataques mediante la firma digital de datos para ayudar a asegurar su validez. Con el objetivo de garantizar una búsqueda segura, la firma se debe realizar en todos los niveles del proceso de búsqueda de DNS.


Este proceso de firma es similar a cuando alguien firma un documento legal con un bolígrafo; esa persona firma con una firma única que nadie más puede crear, y un tribunal de expertos puede examinar esa firma y verificar si ese documento lo firmó esa persona. Estas firmas digitales garantizan que no se hayan manipulado estos datos.


DNSSEC implementa una política de firma digital jerárquica en todas las capas de DNS. Por ejemplo, en el caso de una búsqueda de ‘google.com’, un servidor de DNS raíz firmaría una clave para el servidor de nombres .COM y el servidor de nombres .COM entonces firmaría una clave para el servidor de nombres autoritativos de google.com.


Aunque es siempre preferible mejorar la seguridad, DNSSEC está diseñado para asegurar la compatibilidad hacia atrás para garantizar que las búsquedas tradicionales de DNS se sigan resolviendo correctamente, pero sin la seguridad añadida. DNSSEC está diseñado para trabajar junto con otras medidas de seguridad como SSL/TLS, como parte de una estrategia de seguridad holística en Internet.


DNSSEC crea un tren padre-hijo de confianza que viaja por todo el camino hasta la zona raíz. Esta cadena de confianza no se puede ver comprometida en ninguna capa de DNS; de lo contrario, la solicitud será vulnerable a un ataque de intermediario.


Para cerrar la cadena de confianza, la zona raíz en sí misma tiene que ser validada (se ha comprobado que no se ha manipulado ni es fraudulenta), y esto se lleva a cabo mediante intervención humana. Curiosamente, en lo que se conoce como Ceremonia de firma de la zona raíz, individuos seleccionados de todo el mundo se reúnen para firmar la raíz DNSKEY RRset de manera pública y auditada.

Aquí se explica de forma más detallada el funcionamiento de DNSSEC >>>

¿Cuáles son los ataques más frecuentes que afectan a DNS?

DNSSEC es un poderoso protocolo de seguridad, pero por desgracia en estos momentos no está muy extendido. Debido a esto y sumado a otras vulnerabilidades potenciales, además del hecho de que DNS es una parte integral de la mayoría de las solicitudes de Internet, provoca que DNS sea un objetivo principal para ataques maliciosos. Los atacantes han encontrado varias maneras de apuntar y aprovecharse de los servidores DNS. A continuación, algunas de las maneras más habituales:

Suplantación de DNS/envenenamiento de caché: este es un ataque en el que se introducen datos DNS falsificados en el caché de solucionador de DNS, lo cual provoca que el solucionador devuelva una dirección IP incorrecta para un dominio. En vez de ir al sitio web correcto, se puede desviar el tráfico a un equipo malicioso o a cualquier lugar que quiera el atacante, a menudo esto será una réplica del sitio original usado con fines maliciosos, tales como distribuir malware o recopilar información de inicio de sesión.

Tunelling de DNS: este ataque usa otros protocolos para hacer un túnel a través de consultas y respuestas DNS. Los atacantes pueden utilizar SSH, TCP o HTTP para pasar malware o datos robados a consultas DNS, sin que los detecten la mayoría de firewalls.

Secuestro de DNS: en un secuestro de DNS, el atacante redirige las solicitudes a un servidor de nombres de dominio diferente. Se puede llevar a cabo con malware o con una modificación no autorizada de un servidor DNS. Aunque el resultado es similar al de la suplantación de DNS, es un ataque esencialmente diferente, ya que ataca el registro DNS del sitio web en el servidor de nombres, en vez de una caché de solucionador.

DNS Hijacking

Ataque NXDOMAIN: este es un tipo de ataque de inundación de DNS en el que un atacante inunda un servidor DNS con solicitudes, que solicitan registros que no existen, para causar una denegación de servicio para el tráfico legítimo. Esto se puede conseguir con herramientas de ataque sofisticadas que pueden generar de forma automática subdominios únicos para cada solicitud. Los ataques de NXDOMAIN también pueden tener como objetivo un solucionador recursivo para llenar el caché del solucionar con solicitudes basura.

taque de dominio fantasmau Un ataque de dominio fantasma ofrece un resultado similar a un ataque NXDOMAIN en un solucionador DNS. El atacante configura una serie de servidores de dominio 'fantasma' que responden a las solicitudes muy lentamente o directamente no responden. Después, el solucionador se ve afectado por una avalancha de solicitudes a estos dominios y se queda inmovilizado en espera de respuestas, lo cual un provoca un rendimiento más lento y la denegación de servicio.

Ataque de subdominio aleatorio: en este caso, el atacante envía consultas DNS a varios subdominios aleatorios e inexistentes de un sitio legítimo. Tiene como objetivo crear una denegación de servicio para el servidor de nombres autoritativo del dominio, lo que hace imposible que se pueda buscar el sitio web desde el servidor de nombres. Como efecto secundario, el ISP que sirve al atacante también se puede ver afectado, debido a que el caché de su solucionador recursivo se cargará con solicitudes perjudiciales.

Ataque de bloqueo de dominio: los actores perjudiciales orquestan esta forma de ataque mediante la configuración dominios especiales y solucionadores para crear conexiones TCP con otros solucionadores legítimos. Cuando los solucionadores específicos envían solicitudes, estos dominios devuelven flujos lentos de paquetes aleatorios, que inmovilizan los recursos del solucionador.

Ataque CPE basado en Botnet: estos ataques se realizan usando dispositivos CPE (equipo local del cliente, este es el hardware otorgado por los proveedores de servicio para ser utilizados por sus clientes, incluyendo módems, routers, cajas de cables, etc). Los atacantes ponen en peligro los CPE y los dispositivos se convierten en parte de una botnet, que se utilizar para llevar a cabo ataque de subdominio aleatorios contra un sitio o un dominio.

¿Cuál es la mejor forma de protegerse contra los ataques basados en DNS?

Además de DNSSEC, un operador de una zona DNS puede tomar medidas adicionales para asegurar sus servidores. La infraestructura de sobreaprovisionamiento es una estrategia sencilla para vencer ataques DDoS. En resumen, si tu servidor de nombres puede manejar mucho más tráfico de lo que esperas, es más difícil que un ataque basado en volumen sobrecargue tu servidor.


El enrutamiento Anycastes otra herramienta práctica que puede interrumpir ataques DDoS, Anycast permite que múltiples servidores compartan una dirección IP simple, para que si incluso se cierra un servidor de DNS, siga habiendo otros activos y ofreciendo servicio. Otra estrategia habitual para asegurar los servidores DNS es un DNS Firewall.

¿Qué es DNS Firewall?

Un DNS Firewall es una herramienta que puede proporcionar una serie de servicios de seguridad y funcionamiento a los servidores DNS. Un DNS Firewall se sitúa entre el solucionador recursivo de un usuario y el servidor de nombres autoritativo del sitio web o servicio que intentan alcanzar. El firewall puede ofrecer servicios de rate limiting para detener a los atacantes que intentan sobrecargar el servidor. Si el servidor sufre un tiempo de inactividad como consecuencia de un ataque o por cualquier otro motivo, el DNS Firewall puede mantener conectado el sitio o servicio del operador mediante respuestas DNS desde el caché. Además de sus funciones de seguridad, un DNS Firewall también puede ofrecer soluciones de funcionamiento, como búsquedas DNS más rápidas y costes de ancho de banda reducidos para el operador DNS. Más información sobre el DNS Firewall de Cloudflare.

Un DNS Firewall es una herramienta que puede proporcionar una serie de servicios de seguridad y funcionamiento a los servidores DNS. Un DNS Firewall se sitúa entre el solucionador recursivo de un usuario y el servidor de nombres autoritativo del sitio web o servicio que intentan alcanzar. El firewall puede ofrecer servicios de rate limiting para detener a los atacantes que intentan sobrecargar el servidor.


Si el servidor sufre un tiempo de inactividad como consecuencia de un ataque o por cualquier otro motivo, el DNS Firewall puede mantener conectado el sitio o servicio del operador mediante respuestas DNS desde el caché. Además de sus funciones de seguridad, un DNS Firewall también puede ofrecer soluciones de funcionamiento, como búsquedas DNS más rápidas y costes de ancho de banda reducidos para el operador DNS. Más información sobre el DNS Firewall de Cloudflare.

DNS como una herramienta de seguridad

Los solucionadores de DNS también se pueden configurar para ofrecer soluciones de seguridad a sus usuarios finales (personas que navegan por Internet). Algunos solucionadores de DNS ofrecen características como el filtrado de contenido, que puede bloquear sitios conocidos por distribuir malware y spam, y protección de botnet, que bloquea la comunicación con botnets conocidas. Muchos de estos solucionadores DNS asegurados son gratuitos y un usuario se puede cambiar a uno de estos servicios DNS recursivos simplemente con cambiar la configuración en su router local. El DNS de Cloudflare pone un especial énfasis en la seguridad.