El DNS colgante es un problema crítico que surge de las vulnerabilidades del Sistema de Nombres de Dominio (DNS), un sistema descentralizado utilizado para localizar recursos en Internet. Al traducir nombres de dominio legibles por el ser humano, como google.com, en direcciones IP legibles por la máquina, como 101.102.25.22, el DNS garantiza una conectividad sin fisuras.
Piense en él como en una guía telefónica, que vincula nombres a números para facilitar el acceso. Sin embargo, cuando se producen errores de configuración en el DNS, pueden producirse registros DNS colgantes -entradas que apuntan a recursos inexistentes o dados de baja- que exponen a los dominios a importantes riesgos de seguridad. Resolver estos problemas es esencial para mantener una presencia en línea segura.
Puntos clave
- Los registros DNS colgantes exponen a los dominios a importantes riesgos de seguridad al apuntar a recursos inexistentes o dados de baja.
- Las causas más comunes de los registros DNS colgantes incluyen errores de configuración, servicios caducados y cuentas de alojamiento descontinuadas.
- Los ataques de toma de control de subdominios pueden ser el resultado de registros DNS colgantes, lo que permite a los atacantes controlar y servir contenido malicioso a través de dominios comprometidos.
- Los registros de autenticación de correo electrónico son especialmente vulnerables a los problemas de DNS colgantes y requieren una supervisión periódica para garantizar una configuración adecuada.
- Tanto la auditoría manual como las herramientas automatizadas de supervisión de DNS son esenciales para detectar y abordar eficazmente los registros DNS colgantes.
¿Qué son los registros DNS colgantes?
Un registro DNS colgante es una entrada DNS que apunta a un recurso que ya no existe o que es inaccesible. Los ciberdelincuentes en Internet están siempre a la caza de este tipo de entradas DNS, ya que son susceptibles de fuga de información. Algunas de estas entradas pueden contener información sensible sobre un dominio, convirtiéndose en una mina de oro de datos de la que se pueden beneficiar los actores de amenazas.
Escenarios comunes que conducen a DNS colgantes
- Desconfiguraciones DNS
El Sistema de Nombres de Dominio se configura por separado del recurso de Internet con el que queremos interactuar. Los registros DNS añadidos al DNS apuntan a estos recursos, ayudándonos a acceder a ellos. En algunos casos, un recurso previamente configurado puede ser desconfigurado por su anfitrión. Por ejemplo, el propietario de un dominio configuró un registro DNS para que apuntara a la IP de un servidor. Este servidor ya no está en uso. El registro DNS ahora apunta a un recurso que ya no existe y, por lo tanto, puede denominarse una entrada "DNS colgante".
- Recursos en la nube caducados o eliminados
Si un servicio en la nube utilizado por el propietario de un dominio caduca o se elimina, cualquier registro DNS que apunte a ese servicio se convierte en un registro DNS Danglish. Este registro DNS sigue activo, y cualquier atacante puede utilizar el recurso para servir contenido malicioso.
- IP obsoletas
Una empresa puede migrar servicios a un nuevo proveedor, mientras que las IP anteriores quedan obsoletas. Sin embargo, se olvida de actualizar o eliminar los registros DNS antiguos. Estos registros antiguos son vulnerables a ataques de toma de control de subdominios y pueden ser explotados muy fácilmente.
- Baja o interrupción del servicio
Un servidor de correo electrónico, una cuenta de alojamiento o un proveedor de servicios de terceros deja de funcionar o se da de baja, pero los registros DNS como MX, A y CNAME siguen activos y configurados. Los atacantes pueden explotar estos registros DNS colgantes activos para hacerse pasar por el servicio discontinuado.
¡Simplifique los registros DNS colgantes con PowerDMARC!
Los riesgos de los registros DNS colgantes
Las vulnerabilidades DNS ocultas, como Dangling DNS, pueden dar lugar a la explotación de dominios y a ciberamenazas.
¿Qué es un ataque de toma de posesión de subdominio?
Cuando un atacante detecta una entrada DNS colgante que apunta a un recurso desconfigurado, aprovecha inmediatamente la oportunidad. El atacante se apodera del (sub)dominio al que apunta el registro DNS colgante, dirigiendo así todo el tráfico a un dominio controlado por el atacante con acceso completo al contenido y los recursos del dominio.
Impactos posteriores de que su dominio/subdominio sea secuestrado por un atacante:
Un dominio o servidor desconfigurado puede convertirse en un caldo de cultivo para recursos maliciosos manipulados por un atacante sobre el que el propietario del dominio no tiene ningún control. Esto significa que el atacante puede ejercer completamente el dominio para ejecutar un servicio ilegal, lanzar campañas de phishing a víctimas desprevenidas y difamar el buen nombre de su organización en el mercado.
¿Corren peligro de colgarse sus registros DNS?
La respuesta es sí. Los siguientes registros de autenticación de correo electrónico pueden ser vulnerables a problemas de DNS colgantes:
Protocolos de autenticación de correo electrónico como DMARC se configuran añadiendo un registro TXT a tu DNS. Además de configurar una política para los correos electrónicos de su dominio, también puede aprovechar DMARC para habilitar un mecanismo de informes que le envíe abundante información sobre sus dominios, proveedores y fuentes de correo electrónico.
- Registro SPF
Otro sistema de verificación del origen del correo electrónico muy utilizado, SPF existe en su DNS como un registro TXT que contiene una lista de fuentes de envío autorizadas para sus correos electrónicos.
- TLS-RPT
Informes SMTP TLS (TLS-RPT) son un mecanismo de informes adicional configurado junto con MTA-STS para enviar a los propietarios de dominios notificaciones en forma de informes JSON sobre problemas de entregabilidad debidos a fallos en el cifrado TLS entre dos servidores de correo electrónico en comunicación.
- Registros DKIM CNAME
Los registros CNAME crean alias de nombres de dominio para apuntar un dominio a otro. Puede utilizar CNAME para apuntar un subdominio a otro dominio que contenga toda la información y configuraciones correspondientes al subdominio.
Por ejemplo, el subdominio correo.dominio.es es un alias de CNAME info.dominio.es. Por tanto, cuando un servidor busca correo.dominio.com será redirigido a info.dominio.com.
Su DKIM suele añadirse al DNS como un registro CNAME.
Cada una de estas entradas contiene información valiosa sobre el dominio de su organización, datos de correo electrónico, direcciones IP y fuentes de envío de correo electrónico. Los errores de sintaxis que a menudo se pasan por alto pueden dar lugar a registros colgantes que pueden pasar desapercibidos durante mucho tiempo. Un dominio que ha sido suspendido por el host con un registro DKIM CNAME o SPF que apunta a él también puede causar los mismos problemas.
Nota: Es importante tener en cuenta que los registros MX, NS, A y AAA también son susceptibles de sufrir problemas de DNS colgante. Por el bien de este artículo, sólo hemos cubierto los registros de autenticación de correo electrónico que tienen estas implicaciones, ofreciendo soluciones sobre cómo solucionarlos.
¿Cómo encontrar registros DNS colgantes?
Identificar los registros DNS que apuntan a recursos no aprovisionados en su fase inicial puede ayudar a proteger su marca. Puede hacerlo de dos formas: manual y automatizada.
1. Detección manual de DNS colgantes
Aunque requiere mucho tiempo, una auditoría manual puede ayudar a descubrir registros DNS obsoletos:
- Audite sus entradas DNS: Compare todos los registros DNS de su sistema de gestión DNS con los recursos activos de su entorno. Busque entradas que apunten a servicios o IP inexistentes.
- Valide las configuraciones DNS: Utilice herramientas como nslookup o dig para consultar cada registro y verificar que el recurso correspondiente está aprovisionado y activo.
- Compruebe si hay servicios huérfanos: Investiga servicios como alojamiento de terceros, plataformas en la nube o proveedores de CDN que puedan haberse dado de baja sin eliminar las entradas DNS asociadas.
Aunque los métodos manuales son minuciosos, son propensos al error humano y pueden llegar a ser inmanejables para dominios con configuraciones DNS grandes o complejas.
2. Detección automatizada de DNS colgantes
Una herramienta de monitorización de DNS puede resultar útil en tales circunstancias. Considérelo como una lista para sus dominios y subdominios, es decir, una plataforma que reúne todos los datos relevantes relativos a ellos de una manera organizada que se puede controlar fácilmente de vez en cuando.
PowerDMARC hace precisamente eso. Cuando te registras en nuestra herramienta de monitorización de dominios, te proporcionamos acceso a un panel de control personalizado que reúne todos tus dominios raíz registrados. Nuestra nueva función ahora puede agregar automáticamente subdominios detectados por el sistema para los usuarios sin que ni siquiera tengan que ir para el registro manual.
Compruebe gratis los registros de su dominio
Si no desea comprometerse con un servicio a tiempo completo para la supervisión de su dominio, puede comprobar su dominio con la ayuda de nuestra herramienta PowerAnalyzer. Es gratis. Una vez que introduzcas el nombre de tu dominio y hagas clic en "Comprobar ahora", podrás ver todas las configuraciones de tus registros DNS junto con cualquier error de configuración detectado con consejos sobre cómo resolverlo rápidamente.
- ¿Qué es BIMI? Guía completa sobre los requisitos y la configuración del logotipo BIMI - 21 de abril de 2025
- Reglas de envío de correo masivo para Google, Yahoo, Microsoft y Apple iCloud Mail - 14 de abril de 2025
- Email Salting Attacks: Cómo el texto oculto burla la seguridad - 26 de febrero de 2025