DNS poisoning, también conocido como DNS cache poisoning o DNS spoofing, es un ciberataque altamente engañoso en el que los hackers redirigen el tráfico web hacia servidores web falsos y sitios web de phishing. Estos sitios falsos suelen parecerse al destino previsto por el usuario, lo que facilita a los hackers engañar a los visitantes para que compartan información confidencial. Nota: si busca información sobre ataques de suplantación de IP, consulte mi blog anterior.
Este artículo explorará todo lo que necesita saber sobre la intoxicación por DNS , incluyendo:
- ¿Qué es DNS poisoning/DNS spoofing?
- Cómo funciona la intoxicación por DNS
- Por qué es tan peligroso
- Ejemplos de ataques de suplantación de identidad DNS
- Cómo proteger su organización contra los ataques de envenenamiento de DNS
¿Qué es la intoxicación por DNS ?
DNS El envenenamiento es un tipo de ataque de suplantación de identidad en el que los hackers se hacen pasar por otro dispositivo, cliente o usuario. Esta suplantación les permite, por ejemplo, interceptar información protegida o interrumpir el flujo normal del tráfico web.
En un ataque de envenenamiento de caché DNS , los hackers alteran un sistema de nombres de dominio (DNS) a un DNS "falsificado", de modo que cuando un usuario legítimo va a visitar un sitio web, en lugar de aterrizar en su destino previsto en realidad terminan en un sitio completamente diferente. Por lo general, esto sucede sin que los usuarios lo sepan, ya que los sitios falsos suelen parecerse a los reales.
Es como decirle a alguien que vives en una dirección determinada y luego ir a ese barrio y cambiar todos los nombres de las calles y los números de las casas para que acaben en la dirección equivocada o en una casa completamente distinta.
Una vez que el ataque está en marcha, desviando el tráfico al servidor ilegítimo, los hackers pueden llevar a cabo actividades maliciosas como un ataque man in the middle (por ejemplo, robar información de inicio de sesión segura para sitios web de bancos), instalar un virus en los ordenadores de los visitantes para causar daños inmediatos, o incluso instalar un gusano para propagar los daños a otros dispositivos.
¿Cómo funciona la intoxicación por DNS ?
Para entender cómo funciona el envenenamiento por DNS es necesario conocer el contexto en el que Internet dirige a los usuarios para que visiten diferentes sitios web.
Cada dispositivo y servidor tiene una dirección única de protocolo de Internet (IP), que es una serie de números utilizados como identificadores en las comunicaciones. Cada sitio web tiene un nombre de dominio (por ejemplo, www.keyfactor.com) que se sitúa encima para facilitar a los internautas la visita a los sitios web que desean. El sistema de nombres de dominio (también conocido como DNS) asigna el nombre de dominio que introducen los usuarios a la dirección IP adecuada para encaminar correctamente su tráfico, que se gestiona a través de los servidores DNS .
DNS aprovecha los puntos débiles de este proceso para redirigir el tráfico a una dirección IP ilegítima. En concreto, los hackers obtienen acceso a un servidor DNS para poder ajustar su directorio y dirigir el nombre de dominio que introducen los usuarios a una dirección IP diferente e incorrecta.
Una vez que alguien obtiene acceso a un servidor DNS y comienza a redirigir el tráfico, está realizando una suplantación de identidad DNS . El envenenamiento de caché DNS lleva esto un paso más allá. Cuando se produce el envenenamiento de caché DNS , el dispositivo de un usuario coloca la dirección IP ilegítima en su caché (también conocida como memoria). Esto significa que el dispositivo dirigirá automáticamente al usuario a la dirección IP ilegítima, incluso después de resolver el problema.
La mayor debilidad que permite que se produzca este tipo de ataque es el hecho de que todo el sistema de enrutamiento del tráfico web se construyó más para la escala que para la seguridad. El proceso actual se basa en lo que se denomina Protocolo de Datagramas de Usuario (UDP), un proceso que no requiere que remitentes o destinatarios verifiquen que están listos para comunicarse o verifiquen quiénes son. Esta vulnerabilidad permite a los piratas informáticos falsear la información de identidad (que no requiere ninguna verificación adicional) e introducirse en el proceso para empezar a redirigir servidores DNS .
Aunque se trata de una vulnerabilidad enorme, no es tan sencillo como parece. Para conseguirlo de forma eficaz, un hacker debe responder a una solicitud unos milisegundos antes de que lo haga la fuente legítima e incluir en su respuesta información detallada como el puerto que utiliza el servidor DNS y el número de identificación de la solicitud.
¿Por qué es tan peligrosa la intoxicación por DNS ?
DNS El envenenamiento de caché plantea varios riesgos tanto para los individuos como para las organizaciones. Uno de los mayores riesgos asociados con el envenenamiento de DNS es que una vez que un dispositivo ha sido víctima de él, especialmente DNS envenenamiento de caché, puede llegar a ser muy difícil de resolver el problema porque el dispositivo por defecto para volver al sitio ilegítimo.
Además, el envenenamiento de DNS puede ser extremadamente difícil de detectar para los usuarios, especialmente en los casos en los que los hackers hacen que el sitio web falso al que dirigen el tráfico parezca casi idéntico al real. En estos casos, es probable que los usuarios no tengan ni idea de que el sitio web es en realidad falso e introduzcan información confidencial con normalidad sin darse cuenta de que se están exponiendo a sí mismos y/o a sus organizaciones a un grave riesgo.
En general, algunos de los mayores peligros con este tipo de ataque incluyen:
Virus y programas maliciosos
Una vez que los usuarios son dirigidos a sitios web fraudulentos, los piratas informáticos pueden acceder a ellos para instalar una serie de virus y programas maliciosos en sus dispositivos. Esto puede abarcar desde un virus destinado a infectar su dispositivo (además de otros dispositivos con los que entren en contacto) hasta malware que proporcione a los hackers acceso continuo al dispositivo y a la información que contenga.
Robo
DNS El envenenamiento ofrece a los piratas informáticos una forma fácil de robar información, como los datos de acceso a sitios seguros (desde bancos hasta sistemas organizativos que albergan información confidencial), información personal identificable como números de la seguridad social y otros datos sensibles como información de pago.
Bloqueadores de seguridad
Los actores maliciosos pueden utilizar DNS poisoning para causar graves daños a largo plazo redirigiendo el tráfico de los proveedores de seguridad para impedir que los dispositivos reciban parches y actualizaciones importantes que refuercen la seguridad. Este enfoque puede hacer que los dispositivos sean más vulnerables con el tiempo, abriendo la puerta a numerosos otros tipos de ataques como troyanos y virus.
Censura
En el pasado se han dado casos de gobiernos que han intervenido en el tráfico web de su país a través del envenenamiento de DNS para censurar determinada información. Intervenir de este modo ha permitido a estos gobiernos bloquear el tráfico de los ciudadanos a sitios web que contienen información que no quieren que vean.
Ejemplos de ataques de suplantación de identidad DNS
En los últimos años se han producido varios ataques de envenenamiento en DNS que han puesto de manifiesto los peligros de este tipo de ataques.
Criptomoneda robada de MyEtherWallet a través de un ataque de suplantación de identidad DNS en Amazon Web Services (AWS).
En 2018, un grupo de ladrones consiguió lanzar un ataque de envenenamiento DNS contra AWS para redirigir el tráfico de varios dominios alojados en este sistema. Uno de los ataques más notables se centró en el sitio web de criptomonedas MyEtherWallet.
En concreto, los ladrones redirigían el tráfico de las personas que intentaban acceder a su cuenta de MyEtherWallet a un sitio web falso para capturar sus credenciales de inicio de sesión. A partir de ahí, el grupo utilizaba esa información para acceder a las cuentas reales de esos usuarios y vaciar sus fondos. En total, el grupo robó alrededor de 17 millones de dólares de la criptomoneda Ethereum a lo largo de este ataque de envenenamiento DNS .
Estragos y datos personales potencialmente robados a través de un ataque de envenenamiento DNS en Malaysia Airlines.
En 2015, un grupo de hackers conocido como Lizard Squad lanzó un ataque de envenenamiento DNS contra Malaysia Airlines en el que redirigían a los visitantes de la página a un sitio web falso que les animaba a iniciar sesión solo para ser recibidos por un mensaje 404 y la imagen de un lagarto.
En primer lugar, este ataque causó importantes estragos en la aerolínea, que ya venía de un año difícil en el que se perdieron dos vuelos. En segundo lugar, planteó serias dudas sobre si el grupo de hackers robó o no información personal de alguno de los usuarios que participaron en el ataque y se conectaron al sitio web falso.
La censura se extiende por los países a través de una filtración desde los servidores chinos
En 2010, los internautas de Chile y Estados Unidos vieron cómo se redirigía su tráfico a sitios como Facebook, Twitter y YouTube al pasar a estar bajo el control de servidores de China.
China había manipulado a propósito sus propios servidores mediante el envenenamiento de DNS como forma de censura. En este caso, los usuarios de fuera de China fueron redirigidos a los servidores del país y se convirtieron en víctimas de la censura, perdiendo el acceso a sitios web que China había bloqueado a sus ciudadanos.
¿Cómo puede proteger a sus organizaciones de los ataques de envenenamiento y spoofing de DNS ?
DNS Los ataques de envenenamiento son tan peligrosos porque pueden ser difíciles de detectar y de remediar una vez que se producen (especialmente en el caso del envenenamiento de la caché de DNS ). Dicho esto, hay varias medidas que puede tomar para proteger mejor a su organización de los riesgos que plantean los ataques de envenenamiento de DNS . Algunas de las mejores maneras de proteger a su organización incluyen:
1) Introducir extensiones de seguridad DNS (DNSSEC)
La introducción de DNSSEC es uno de los pasos más valiosos que puede dar para protegerse contra los ataques de envenenamiento de DNS . Sencillamente, DNSSEC da el paso añadido de verificar los datos de DNS , algo que no es estándar en los protocolos actuales de Internet.
DNNSEC se basa en la criptografía de clave pública para hacer posible esta verificación. En concreto, utiliza la autenticación basada en certificados para verificar el dominio raíz de cualquier DNS que responda a una solicitud y garantizar que está autorizado a hacerlo. También evalúa si se puede confiar en el contenido de la respuesta y si dicho contenido puede haber sido modificado en tránsito.
2) Cifrar siempre los datos
Otra medida importante que puede tomar es cifrar siempre los datos incluidos en las solicitudes y respuestas de DNS . Esto ofrece una capa adicional de protección al impedir que los piratas informáticos que pudieran interceptar esos datos hagan algo con ellos.
Por ejemplo, aunque un pirata informático consiga interceptar esos datos, si están cifrados no podrá leerlos para obtener la información que necesita para duplicarlos y utilizarlos en respuestas a futuras solicitudes de DNS .
3) Habilitar configuraciones seguras DNS
Su organización también puede tomar medidas para configurar su DNS de ciertas maneras que proporcionen una capa adicional de protección. En primer lugar, puede configurar sus servidores DNS para que no dependan en gran medida de las relaciones con ningún otro servidor DNS . De este modo, a los hackers les resultará mucho más difícil establecer una conexión a través de su propio servidor DNS , ya que establecer esa relación dejará de tener sentido en el curso normal de los negocios.
En segundo lugar, puedes configurar tus servidores DNS para que almacenen conjuntos de datos más limitados, de modo que sólo permitan la ejecución de determinados servicios. Esta configuración evita abrir tu servidor a más datos, lo que crea muchos más puntos potenciales de debilidad que los hackers pueden explotar.
4) Actualice regularmente el sistema
Como ocurre ahora con la mayoría de los sistemas, tu DNS podrá recibir actualizaciones periódicas del sistema. Es muy importante que ejecutes siempre estas actualizaciones para utilizar la versión más reciente de DNS , ya que suelen incluir nuevos protocolos de seguridad y soluciones a las vulnerabilidades detectadas. Además, si sigues utilizando la última versión, te asegurarás de poder seguir recibiendo actualizaciones en el futuro.
5) Introducir protocolos de detección potentes
Aunque las tácticas de prevención son ciertamente importantes, también es necesario contar con un buen plan en caso de que se produzca un ataque de envenenamiento DNS . Aquí es donde los protocolos de detección fuertes se vuelven muy importantes.
Los mejores protocolos de detección utilizan la monitorización regular para buscar ciertas señales de advertencia. Dos de las mayores señales de advertencia son (1) un aumento de la actividad de DNS desde una única fuente sobre un único dominio, lo que puede indicar un ataque de Cumpleaños y (2) un aumento de la actividad de DNS desde una única fuente sobre múltiples nombres de dominio, lo que puede indicar intentos de encontrar un punto de entrada para el envenenamiento de DNS .
6) Dirigir la formación de los usuarios finales
Otra táctica de detección importante es la formación de los usuarios finales para ayudarles a ser conscientes de los riesgos potenciales. Aunque los ataques de envenenamiento de DNS pueden ser muy difíciles de detectar incluso para usuarios bien formados, una sólida formación puede ayudar a frenar la propagación de ciertos ataques.
La formación debe instruir a los usuarios para que comprueben que los sitios web utilizan un certificado válido SSL/TLS , eviten hacer clic en enlaces que no reconozcan o enlaces de fuentes que no reconozcan, limpien regularmente su caché DNS para protegerse contra el envenenamiento de la caché DNS y ejecuten la seguridad software que puede escanear sus dispositivos en busca de signos de malware.
