La amenaza global del envenenamiento de DNS

En una serie de ataques relacionados, los hackers están falsificando los registros DNS para enviar a los usuarios a sitios web falsos diseñados para robar las credenciales de acceso y otra información confidencial.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el secuestro de DNS
  • Explicar cómo usan los atacantes el secuestro de DNS para conseguir credenciales de acceso
  • Describir cómo los proveedores de DNS y los navegadores web pueden ayudar a prevenir el secuestro de DNS

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Cuál es la amenaza global de envenenamiento de DNS?

Los expertos de las principales empresas de ciberseguridad, como Tripwire, FireEye y Mandiant, han informado de una oleada alarmante de ataques de envenenamiento de DNS en todo el mundo. Estos ataques tienen como objetivo entidades gubernamentales, de telecomunicaciones y de Internet en Oriente Medio, Europa, Norte de África y Norteamérica.

Los investigadores no han identificado públicamente los sitios atacados, pero han reconocido que el número de dominios afectados llega a las docenas. Estos ataques, que llevan produciéndose desde al menos 2017, se utilizan junto con credenciales previamente robadas para dirigir a los usuarios a sitios web falsos diseñados, con el fin de robarles credenciales de inicio de sesión y cualquier otro tipo de información confidencial.

Aunque nadie se ha atribuido la autoría de estos ataques, muchos expertos creen que tienen su origen en Irán. Varias de las direcciones IP de los atacantes se han localizado en Irán. Aunque es posible que los atacantes estén suplantando IP iraníes para despistar, los objetivos del ataque también parecen señalar a Irán. Los objetivos incluyen sitios gubernamentales de varios países de Oriente Medio, que contienen datos sin valor financiero, pero que serían muy valiosos para el gobierno de Irán.

¿Cómo funcionan estos ataques de envenenamiento de DNS?

Se están llevando a cabo algunas estrategias de ataque diferentes, pero el flujo de los ataques es el siguiente:

  1. El atacante crea un sitio ficticio que tiene el mismo aspecto que el sitio al que se están dirigiendo.
  2. El atacante utiliza un ataque dirigido (como spear phishing) para conseguir las credenciales de acceso al panel de administración del proveedor de DNS* para el sitio objetivo.
  3. Luego, el atacante entra en el panel de administración de DNS y cambia los registros de DNS del sitio que está atacando (esto se conoce como envenenamiento de DNS), para que los usuarios que intenten acceder al sitio sean enviados al sitio ficticio.
  4. El atacante falsifica un certificado de encriptación de TLS, que convencerá al navegador del usuario de que el sitio ficticio es legítimo.
  5. Los usuarios desprevenidos van a la URL del sitio afectado y son redirigidos al sitio falso.
  6. A continuación, los usuarios intentan iniciar sesión en el sitio ficticio, y el atacante se hace con sus credenciales de inicio de sesión.
Secuestro de DNS

*El Sistema de nombres de dominio (DNS) es como la agenda telefónica de Internet. Cuando un usuario escribe una URL, como "google.com", en su navegador, sus registros en los servidores DNS dirigen a ese usuario al servidor de origen de Google. Si se han manipulado tales registros DNS, los usuarios pueden acabar en un lugar diferente al esperado.

¿Cómo se pueden evitar los ataques de envenenamiento de DNS?

Los usuarios individuales no pueden hacer mucho para protegerse de la pérdida de credenciales en este tipo de ataques. Si el atacante es lo suficientemente concienzudo al crear su sitio ficticio, puede ser muy difícil reconocer las diferencias, incluso para los usuarios más técnicos.

Una forma de mitigar estos ataques sería que los proveedores de DNS reforzaran su autenticación, tomando medidas como exigir la autenticación de 2 factores, lo cual dificultaría mucho el acceso de los atacantes a los paneles de administración de DNS. Los navegadores también podrían actualizar sus reglas de seguridad, por ejemplo, examinando el origen de los certificados TLS para asegurarse de que proceden de una fuente que se ajusta al dominio en el que se utilizan.