Un ataque de envenenamiento de la caché de DNS (también conocido como falsificación de DNS) es un ciberdelito que aprovecha las vulnerabilidades del sistema de nombres de dominio y de los servidores. A través de estos ataques, los actores de la amenaza desvían el tráfico y la información a un DNS controlado por el atacante o a un sitio web corrupto.

¿Qué es el envenenamiento de la caché DNS? 

El envenenamiento de la caché del DNS es un ataque al Sistema de Nombres de Dominio (DNS), que es un sistema utilizado para traducir los nombres de dominio en direcciones IP. También se conoce como DNS spoofing. En este ataque, un pirata informático falsifica la información que recibe su ordenador cuando le pide la dirección IP de un sitio web. Esto puede hacer que su ordenador acceda a un sitio equivocado o incluso que sea redirigido a un sitio malicioso.

El envenenamiento de la caché de DNS se considera una forma de ataque man-in-the-middle porque permite al atacante interceptar la comunicación entre el navegador y el sitio web. Una vez que han tomado el control del servidor DNS, pueden redirigir todo el tráfico a sus propios servidores, por lo que incluso si escribes "facebook.com", te dirigirán a su versión falsa de Facebook.

¿Cómo se produce el envenenamiento de la caché DNS?

El DNS: Una breve descripción del Sistema de Nombres de Dominio

Para entender mejor la dinámica de los ataques de envenenamiento de caché, es necesario tener una idea clara de cómo funciona el DNS. 

El DNS, o Sistema de Nombres de Dominio, puede considerarse como el directorio de Internet. Al igual que la guía telefónica, el DNS es un sistema de traducción en línea que ayuda a convertir direcciones IP complejas en nombres de dominio fáciles de recordar. 

Por ejemplo, podemos recordar fácilmente el nombre de dominio facebook.com, y podemos utilizar esta información para navegar por Internet a voluntad y buscar el sitio web para acceder a Facebook. Sin embargo, si tuviéramos que recordar direcciones IP como 69.200.187.91, sería un proceso insoportable. 

Por lo tanto, cuando buscamos un nombre de dominio en nuestro navegador, el DNS resuelve el nombre en su posterior dirección IP y nos ayuda a localizar el recurso que estamos buscando. 

¿Cómo funciona el envenenamiento de la caché DNS?

Algunas informaciones útiles

Cuando un usuario de la web intenta acceder a un dominio desde un navegador, el resolvedor DNS proporciona al usuario una dirección IP para localizar el dominio de recursos. Puede haber más de un servidor involucrado en esto. 

Este proceso se conoce como búsqueda de DNS o consulta de DNS. 

A veces, los resolutores DNS almacenan las solicitudes de consulta DNS (almacenan los datos en caché) con el fin de acelerar el proceso para futuras solicitudes. El tiempo que estos datos permanecen en la memoria caché del DNS se conoce como Time-to-live (TTL) 

La anatomía de un ataque de envenenamiento de caché

Durante un ataque de envenenamiento de caché de DNS, el atacante entrega información de direcciones IP falsificadas a la caché de un DNS. Esta dirección IP pertenece a un dominio corrupto controlado por el atacante. Cuando un usuario de la web intenta acceder al recurso deseado, en su lugar es redirigido al dominio corrupto que puede instigar la instalación de malware. 

Hay que tener en cuenta que un atacante tiene que actuar en un plazo de tiempo muy corto. Sólo tiene tiempo suficiente para lanzar el ataque hasta que el tiempo de vida de los datos almacenados en la caché del DNS expira. El DNS, sin ser consciente de estos datos maliciosos que se han alojado con tacto en su sistema de caché, sigue alimentando con información falsa a los usuarios de la web durante todo este tiempo. 

¿Cómo puede perjudicarle el envenenamiento de la caché de DNS?

El envenenamiento de la caché es un ejemplo clásico de un ataque de suplantación de identidaden el que un atacante se hace pasar por un dominio legítimo, pero en cambio, engaña a los usuarios para que visiten un sitio web fraudulento. Este tipo de ataque es especialmente impactante ya que no existe un sistema de regulación dentro del DNS que filtre los datos incorrectos de la caché.

Esto es perjudicial debido a las siguientes razones: 

1. Impacto en la fidelidad de los clientes

Esto es perjudicial para el propietario del sitio web, ya que empieza a perder credibilidad. 

2. Instalaciones de software malicioso

Los usuarios de la web pueden descargar programas maliciosos en su ordenador que pueden infiltrarse en su sistema o en toda la red de la organización y robar datos sensibles.

3. Robo de credenciales

Los internautas pueden filtrar otra información sensible como contraseñas, credenciales bancarias y corporativas en el sitio web fraudulento y perder sus datos y/o activos monetarios.

¿Cómo evitar el Cache Poisoning? 

1. Actualice su software antivirus

Si ha instalado accidentalmente un malware en su dispositivo desde un sitio malicioso, debe actuar con rapidez. Actualiza tu software antivirus a la última versión y realiza un análisis completo de tu sistema operativo para detectar y eliminar el malware. 

2. Implantar DNSSEC

DNSSEC es una extensión de seguridad para su Sistema de Nombres de Dominio. Aunque el DNS no viene intrínsecamente con una política de seguridad, el protocolo DNSSEC puede ayudar a prevenir ataques de envenenamiento de caché a través de la criptografía de clave pública. 

3. Detener la suplantación de DNS con MTA-STS

Las interceptaciones del servidor SMTP pueden evitarse mediante el cifrado TLS de extremo a extremo de sus canales de correo electrónico con MTA-STS. El Mail Transfer Agent Strict Transport Security es un protocolo de autenticación que obliga a los servidores a soportar el cifrado TLS de los correos electrónicos durante la transferencia.

Además de estas estrategias, también puede utilizar herramientas de seguridad DNS para proteger sus servidores DNS y sitios web. Estas herramientas redirigen el tráfico web a través de filtros que identifican firmas de malware y otros sitios web y medios potencialmente maliciosos.

Conclusión

Es importante señalar que, aunque se trata de medidas preventivas, la seguridad empieza en casa. Aumentar la concienciación sobre los vectores de amenaza y las mejores prácticas de seguridad puede ayudarle a mitigar los ataques a largo plazo. Asegúrate de establecer siempre contraseñas más seguras, no hagas nunca clic en enlaces y archivos adjuntos sospechosos y borra la caché de DNS con regularidad.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Aumentan las estafas fiscales y los ataques de suplantación de identidad de IRS por correo electrónico durante la temporada de impuestos - 2 de mayo de 2024
• Seguridad del correo electrónico 101 para combatir las criptoestafas - 30 de abril de 2024
• ¿Cómo encontrar el mejor proveedor de soluciones DMARC para su empresa? - 25 de abril de 2024