En una serie de ataques relacionados, los hackers están falsificando los registros DNS para enviar a los usuarios a sitios web falsos diseñados para robar las credenciales de acceso y otra información confidencial.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Los expertos de las principales empresas de ciberseguridad, como Tripwire, FireEye y Mandiant, han informado de una oleada alarmante de ataques de envenenamiento de DNS en todo el mundo. Estos ataques tienen como objetivo entidades gubernamentales, de telecomunicaciones y de Internet en Oriente Medio, Europa, Norte de África y Norteamérica.
Los investigadores no han identificado públicamente los sitios atacados, pero han reconocido que el número de dominios afectados llega a las docenas. Estos ataques, que llevan produciéndose desde al menos 2017, se utilizan junto con credenciales previamente robadas para dirigir a los usuarios a sitios web falsos diseñados, con el fin de robarles credenciales de inicio de sesión y cualquier otro tipo de información confidencial.
Aunque nadie se ha atribuido la autoría de estos ataques, muchos expertos creen que tienen su origen en Irán. Varias de las direcciones IP de los atacantes se han localizado en Irán. Aunque es posible que los atacantes estén suplantando IP iraníes para despistar, los objetivos del ataque también parecen señalar a Irán. Los objetivos incluyen sitios gubernamentales de varios países de Oriente Medio, que contienen datos sin valor financiero, pero que serían muy valiosos para el gobierno de Irán.
Se están llevando a cabo algunas estrategias de ataque diferentes, pero el flujo de los ataques es el siguiente:
*El Sistema de nombres de dominio (DNS) es como la agenda telefónica de Internet. Cuando un usuario escribe una URL, como "google.com", en su navegador, sus registros en los servidores DNS dirigen a ese usuario al servidor de origen de Google. Si se han manipulado tales registros DNS, los usuarios pueden acabar en un lugar diferente al esperado.
Los usuarios individuales no pueden hacer mucho para protegerse de la pérdida de credenciales en este tipo de ataques. Si el atacante es lo suficientemente concienzudo al crear su sitio ficticio, puede ser muy difícil reconocer las diferencias, incluso para los usuarios más técnicos.
Una forma de mitigar estos ataques sería que los proveedores de DNS reforzaran su autenticación, tomando medidas como exigir la autenticación de 2 factores, lo cual dificultaría mucho el acceso de los atacantes a los paneles de administración de DNS. Los navegadores también podrían actualizar sus reglas de seguridad, por ejemplo, examinando el origen de los certificados TLS para asegurarse de que proceden de una fuente que se ajusta al dominio en el que se utilizan.