Seguridad DNS

DNS no se diseñó pensando en la seguridad, y hay muchos tipos de ataques creados para explotar las vulnerabilidades en el sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Seguridad DNS

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Comprender qué es DNSSEC y cómo funciona
  • Familiarizarse con los ataques de DNS más comunes
  • Diferenciar entre DNSSEC y otras soluciones de seguridad de DNS

¿Por qué es importante la seguridad DNS?

Las consultas estándar de DNS, que se requieren para casi todo el tráfico web, crean oportunidades para vulnerabilidades de DNS, tales como secuestro de DNS y ataques en ruta. Estos ataques pueden redirigir el tráfico entrante de un sitio web a una copia falsa del sitio web, y recopilar información confidencial del usuario y exponer a las empresas a una mayor responsabilidad. Una de las mejores formas de protegerse contra las amenazas de DNS es adoptar el protocolo DNSSEC.

¿Qué es DNSSEC?

Como muchos protocolos de internet, el sistema DNS no se diseñó pensando en la seguridad e incluye varias limitaciones de diseño. Estas limitaciones, junto con los avances en tecnología, han facilitado a los atacantes el secuestro de una búsqueda de DNS con fines maliciosos, tales como enviar a un usuario a un sitio web fraudulento que puede distribuir malware (software malicioso) o recopilar información personal. Las extensiones de seguridad de DNS (DNSSEC) son un protocolo de seguridad creado para mitigar este problema. DNSSEC protege de los ataques mediante la firma digital de datos para asegurar su validez. Para garantizar una búsqueda segura, la firma debe hacerse en cada nivel del proceso de búsqueda de DNS.

Como muchos protocolos de internet, el sistema DNS no se diseñó pensando en la seguridad e incluye varias limitaciones de diseño. Estas limitaciones, junto con los avances en tecnología, han facilitado a los atacantes el secuestro de una búsqueda de DNS con fines maliciosos, tales como enviar a un usuario a un sitio web fraudulento que puede distribuir malware (software malicioso) o recopilar información personal.


Las extensiones de seguridad de DNS (DNSSEC) son un protocolo de seguridad creado para mitigar este problema. DNSSEC protege de los ataques al firmar los datos digitalmente para asegurar su validez. Para garantizar una búsqueda segura, la firma debe hacerse en cada nivel del proceso de búsqueda de DNS.


Este proceso de firma es similar a cuando alguien firma un documento legal con un bolígrafo; esa persona firma con una firma única que nadie más puede crear, y un perito judicial puede examinar esa firma y verificar si ese documento lo firmó esa persona. Estas firmas digitales garantizan que los datos no se han alterado.


DNSSEC implementa una política de firmas digitales jerárquicas en todas las capas de DNS. Por ejemplo, en el caso de una búsqueda en "google.com", un servidor DNS raíz firmaría una clave para el servidor de nombres .COM, y el servidor de nombres .COM luego firmaría una clave para el servidor de nombres autorizado de google.com.


Si bien siempre es preferible una mejor seguridad, el diseño de DNSSEC asegura la compatibilidad retroactiva para garantizar que las búsquedas tradicionales de DNS se sigan resolviendo correctamente, pero sin la seguridad agregada. El diseño de DNSSEC permite un funcionamiento con otras medidas de seguridad, como SSL/TLS como parte de una estrategia integral de seguridad en Internet.


DNSSEC crea una cadena de confianza superior dependiente que recorre todo el trayecto hasta la zona raíz. Esta cadena de confianza no se puede comprometer en ninguna capa de DNS, de lo contrario la solicitud estaría abierta a un ataque en ruta.


Para cerrar la cadena de confianza, la propia zona de raíz tiene que validarse (debe probar que está libre de manipulación o fraude) y esto, por lo general, se hace con intervención de los seres humanos. Curiosamente, en la denominada Ceremonia de firma de zona raíz, personas seleccionadas de todo el mundo se reúnen para firmar la raíz DNSKEY RRset de forma pública y auditada.

Aquí se explica de forma más detallada el funcionamiento de DNSSEC >>>

¿Cuáles son los ataques frecuentes que afectan a DNS?

DNSSEC es un protocolo de seguridad potente, pero lamentablemente no se ha adoptado de forma universal. Esta falta de adopción aunada a otras vulnerabilidades potenciales, además del hecho de que DNS es una parte integral de la mayoría de las solicitudes de Internet, convierte a DNS en un objetivo prioritario para los ataques maliciosos. Los atacantes han encontrado varias formas de atacar a los servidores DNS, y de explotarlos; estas son algunas de las más comunes:

Falsificación/evenenamiento de caché de DNS: este es un ataque en el que se introducen datos falsificados en el caché de una resolución de DNS, lo que hace que la resolución devuelva una dirección IP incorrecta para un dominio. En lugar de ir al sitio web correcto, se puede desviar el tráfico a un equipo malicioso o a cualquier otro sitio que desee el atacante; este suele ser una réplica del sitio original usado con fines maliciosos, tales como distribuir malware (software malicioso) o recopilar información de inicio de sesión.

Tunelización de DNS: este ataque usa otros protocolos para abrir un túnel a través de las consultas y respuestas de DNS. Los atacantes pueden usar SSH, TCP o HTTP para pasar información robada o malware (software malicioso) en consultas de DNS, sin que los detecte la mayoría de los firewalls.

Secuestro de DNS: en el secuestro de DNS, el atacante redirige las consultas a un servidor de nombres de dominio diferente. Esto se puede hacer con malware (software malicioso) o con la modificación no autorizada de un servidor DNS. Si bien el resultado es similar al de suplantación de DNS, este es un ataque esencialmente diferente, ya que ataca el registro de DNS del sitio web en el servidor de nombres, en lugar del caché de una resolución.

Secuestro de DNS

Ataque de NXDOMAIN: este es un tipo de ataque de inundación de DNS en el que un atacante inunda un servidor DNS con solicitudes, pide registros que no existen, con el objetivo de ocasionar una denegación de servicio para el tráfico legítimo. Esto se puede lograr mediante el uso de herramientas sofisticadas de ataque que pueden generar, de manera automática, subdominios únicos para cada solicitud. Los ataques de NXDOMAIN también pueden dirigirse contra una resolución recursiva con el objetivo de llenar el caché de la resolución con solicitudes basura.

Ataque de dominio fantasma: un ataque de dominio fantasma tiene un resultado similar al de un ataque de NXDOMAIN en una resolución de DNS. El atacante configura una serie de servidores de dominio “fantasma” que responden a las solicitudes muy lentamente o no responden en absoluto. Luego, la resolución recibe un aluvión de solicitudes a estos dominios y queda atascada esperando respuestas, con la consecuencia de un rendimiento ralentizado y la denegación de servicio.

Ataque aleatorio a subdominio: en este caso, el atacante envía consultas de DNS a varios subdominios aleatorios inexistentes de un sitio legítimo. El objetivo es crear una denegación de servicio para el servidor de nombres autorizado, imposibilitando la búsqueda del sitio web desde el servidor de nombres. Como efecto secundario, el ISP que sirve al atacante también puede verse afectado, ya que el caché de su resolución recursiva se cargará con solicitudes inválidas.

Ataque de cierre de dominio: los agentes maliciosos coordinan esta forma de ataque mediante el establecimiento de resoluciones y dominios especiales para crear conexiones de TCP con otras resoluciones legítimas. Cuando las resoluciones atacadas envían solicitudes, estos dominios devuelven transmisiones lentas de paquetes aleatorios, y atascan los recursos de la resolución.

Ataque CPE con red de bots (botnet): estos ataques se llevan a cabo con dispositivos CPE (equipo local del cliente, este es el hardware otorgado por los proveedores de servicio a sus clientes, lo que incluye módems, routers, cajas de cables, etc.). Los atacantes ponen en riesgo a los CPE, y los dispositivos pasan a formar parte de una red de bots (botnet), que se usan para perpetrar ataques de subdominio contra un sitio o dominio.

¿Cuál es la mejor forma de protegerse contra los ataques basados en DNS?

Además de DNSSEC, un operador de una zona DNS puede tomar medidas adicionales para proteger a sus servidores. El aprovisionamiento excesivo de infraestructuras es una estrategia simple para superar ataques DDoS. En pocas palabras, si tu servidor de nombres puede gestionar varios múltiplos más de tráfico del que esperas, será más difícil que un ataque en volumen desestabilice a tu servidor.


El redireccionamiento Anycast es otra herramienta práctica que puede interrumpir ataques DDoS. Anycast permite que múltiples servidores compartan una dirección IP única, para que incluso si se cierra un servidor DNS, siga habiendo otros activos y en servicio. Otra estrategia popular para asegurar los servidores DNS es un DNS Firewall.

¿Qué es un DNS Firewall?

Un DNS Firewall es una herramienta que ofrece una serie de servicios de seguridad y rendimiento para los servidores DNS. Un DNS Firewall se ubica entre una resolución recursiva del usuario y el servidor de nombres autorizado del sitio web o el servicio al que están intentando acceder. El firewall puede ofrecer servicios de limitación de velocidad para bloquear el acceso a los atacantes que intentan inundar el servidor. Si el servidor experimenta un tiempo de inactividad como resultado de un ataque o por cualquier otra razón, el DNS Firewall podrá mantener en funcionamiento el sitio o servicio del operador brindando respuestas DNS desde el caché. Además de sus características de seguridad, un DNS Firewall también puede ofrecer soluciones de rendimiento, tales como búsquedas de DNS más rápidas y costos de ancho de banda reducidos para el operador de DNS. Más información sobre el DNS Firewall de Cloudflare.

Un DNS Firewall es una herramienta que ofrece una serie de servicios de seguridad y rendimiento para los servidores DNS. Un DNS Firewall se ubica entre una resolución recursiva del usuario y el servidor de nombres autorizado del sitio web o el servicio al que están intentando acceder. El firewall puede ofrecer servicios de limitación de velocidad para bloquear el acceso a los atacantes que intentan inundar el servidor.


Si el servidor experimenta un tiempo de inactividad como resultado de un ataque o por cualquier otra razón, el DNS Firewall podrá mantener en funcionamiento el sitio o servicio del operador brindando respuestas DNS desde el caché. Además de sus características de seguridad, un DNS Firewall también puede ofrecer soluciones de rendimiento, tales como búsquedas de DNS más rápidas y costos de ancho de banda reducidos para el operador de DNS. Más información sobre el DNS Firewall de Cloudflare.

DNS como herramienta de seguridad

Las resoluciones de DNS también se pueden configurar para ofrecer soluciones de seguridad para sus usuarios finales (las personas que navegan en Internet). Algunas resoluciones de DNS ofrecen características, tales como filtración de contenidos que pueden bloquear sitios conocidos por distribuir malware (software malicioso) y spam, y protección de red de bots (botnet), que bloquea la comunicación con redes de bots (botnet) conocidas. Muchas de estas resoluciones de DNS seguras son de uso gratuito, y un usuario puede cambiar a uno de estos servicios de DNS recursivos con un simple ajuste en su router local. El DNS de Cloudflare pone el acento en la seguridad.