¿Qué es el DNS Spoofing?

Blog

¿Qué es el DNS Spoofing? El DNS nunca ha sido seguro en sí mismo. Esto ha animado a los malos actores a explotar el problema con el tiempo y desarrollar sofisticados ataques basados en el DNS, como la suplantación de DNS.

por Ahona Rudra

Tiempo de lectura: 5 min
¿Qué es el DNS Spoofing?
Índice-

¿Qué es la suplantación de DNS? La suplantación de DNS es una táctica de ataque comúnmente utilizada para estafar a las empresas. El DNS nunca ha sido seguro en sí mismo. Como se diseñó en la década de 1980, la seguridad no era un problema importante cuando Internet era todavía una curiosidad. Esto ha animado a los malos actores a explotar el problema a lo largo del tiempo y a desarrollar sofisticados ataques basados en el DNS, como la falsificación del DNS.

Definición de Spoofing de DNS

La suplantación de DNS es una técnica utilizada para secuestrar la solicitud de un sitio web por parte de un navegador y dirigir al usuario a un sitio web diferente. Esto puede hacerse cambiando la dirección IP de los servidores DNS o cambiando la dirección IP del propio servidor de nombres de dominio.

La suplantación de DNS se utiliza a menudo en esquemas de phishing en los que se engaña a los usuarios para que visiten sitios web falsos que parecen auténticos. Estos sitios web falsos pueden pedir información personal, como números de tarjetas de crédito o de la Seguridad Social, que los delincuentes pueden utilizar para robar la identidad.

¿Qué es un ataque de suplantación de DNS?

Un ataque de suplantación de DNS es cuando el atacante se hace pasar por un servidor DNS y envía respuestas a las consultas DNS que son diferentes a las enviadas por el servidor legítimo.

El atacante puede enviar cualquier respuesta que desee a la consulta de la víctima, incluyendo direcciones IP falsas para los hosts u otros tipos de información falsa. Esto podría utilizarse para dirigir a un usuario a un sitio web diseñado para parecerse a otro sitio web o dar información falsa sobre los servicios de la red.

En pocas palabras, un atacante puede engañar a un usuario para que visite un sitio web dañino sin que lo sepa. El spoofing de DNS se refiere a cualquier intento de alterar los registros DNS devueltos a un usuario y redirigirlo a un sitio web malicioso.

Puede ser utilizado para una variedad de propósitos maliciosos, incluyendo:

  • Distribución de malware, ransomware y estafas de phishing
  • Recogida de información de los usuarios
  • Facilitar otros tipos de ciberdelincuencia.

¿Cómo funciona el DNS Spoofing?

El servidor DNS convierte los nombres de dominio en direcciones IP para que la gente pueda conectarse a los sitios web. Si un hacker quiere enviar a los usuarios a sitios maliciosos, primero tendrá que cambiar la configuración del DNS. Esto puede hacerse aprovechando los puntos débiles del sistema o mediante ataques de fuerza bruta en los que los hackers prueban miles de combinaciones diferentes hasta encontrar una que funcione.

Paso 1 - Reconocimiento

El primer paso de un ataque exitoso es el reconocimiento: averiguar toda la información posible sobre el objetivo. Un hacker estudiará su modelo de negocio, la estructura de la red de empleados y las políticas de seguridad para saber qué tipo de información debe pedir y cómo puede conseguirla.

Paso 2 - Acceso

Una vez que han reunido suficiente información sobre su objetivo, intentarán acceder al sistema explotando vulnerabilidades DNS o utilizando métodos de fuerza bruta. Una vez que tienen acceso, pueden instalar malware en el sistema que les permita monitorizar el tráfico y extraer datos sensibles. El atacante puede enviar paquetes que afirmen proceder de ordenadores legítimos, lo que hará que parezca que proceden de otro lugar.

Paso 3 - Ataque

Cuando el servidor de nombres reciba estos paquetes, los almacenará en su caché y los utilizará la próxima vez que alguien le pregunte por esta información. Cuando los usuarios autorizados intenten acceder a un sitio web autorizado, serán redirigidos a un sitio no autorizado.

Métodos de suplantación de DNS

Hay varias formas en que un atacante puede realizarlo, pero todas se basan en engañar al ordenador del usuario para que utilice un servidor DNS alternativo. Esto permite al atacante secuestrar las peticiones y enviarlas al sitio web que desee.

1. Ataques Man-in-the-Middle

El ataque de suplantación de DNS más común se llama ataque de hombre en el medio (MITM). El atacante intercepta una comunicación de correo electrónico entre dos servidores SMTP para leer todo su tráfico de Internet en este tipo de ataque. A continuación, el atacante intercepta tu solicitud de resolución de un nombre de dominio y la envía a través de su red en lugar de la real. Pueden responder con cualquier dirección IP que quieran, incluso una que pertenezca a un sitio de phishing.

2. Envenenamiento de la caché DNS

El atacante utiliza una red de bots o un dispositivo comprometido en su red para enviar respuestas falsas a las consultas DNS, envenenando la caché local con información incorrecta. Esto puede usarse para secuestrar sistemas de nombres de dominio (DNS) y ataques man-in-the-middle.

3. Secuestro de DNS

El atacante cambia su dirección IP para que parezca que es el servidor de nombres autorizado para un nombre de dominio. A continuación, pueden enviar respuestas DNS falsificadas a un cliente que solicite información sobre este dominio, dirigiéndolo hacia una IP controlada por el atacante en lugar de utilizar correctamente los servidores DNS públicos. Este ataque es más común contra clientes que no han implementado medidas de seguridad en sus routers o firewalls.

¿Cómo prevenir la falsificación de DNS?

Implantar mecanismos de detección de spoofing de DNS

DNSSEC es una de las soluciones propuestas para este problema. DNSSEC es una extensión para el DNS que proporciona autenticación e integridad para los registros y proporciona datos no autorizados de los servidores DNS. Garantiza que las respuestas no sean manipuladas durante la transmisión. También proporciona confidencialidad para el tráfico de datos entre clientes y servidores, de modo que sólo aquellos con credenciales válidas pueden descifrarlo.

Realice un filtrado exhaustivo del tráfico DNS

El filtrado de tráfico DNS es el proceso de inspeccionar todo el tráfico entrante y saliente en su red. Esto le permite bloquear cualquier actividad sospechosa que se produzca en su red. Puedes hacerlo utilizando un cortafuegos u otro software de seguridad que ofrezca esta funcionalidad.

Aplique regularmente parches a los servidores DNS

Aplique regularmente las actualizaciones de seguridad a los sistemas operativos, las aplicaciones y las bases de datos.

Utilice una red privada virtual (VPN)

Si no tiene acceso a una conexión HTTPS, utilice VPN fiables. Una VPN crea un túnel cifrado entre tu ordenador y el sitio web o servicio al que accedes. Como cifran el tráfico en ambas direcciones, impiden que los proveedores de servicios de Internet vean qué sitios web visitas y qué datos envías o recibes.

Utilizar cortafuegos

Instale un cortafuegos en cada sistema que se conecte a Internet. Un cortafuegos bloqueará todas las conexiones entrantes que no hayan sido permitidas explícitamente por el administrador de la red.

Utilizar protocolos de autenticación de correo electrónico

Puede utilizar MTA-STS para mitigar la suplantación de DNS. Las entradas guardadas en el archivo de políticas MTA-STS, descargadas a través de HTTPS, se comparan con los registros MX de su MTA consultados a través de DNS. Los MTA también almacenan en caché los archivos de políticas MTA-STS, lo que dificulta la ejecución de un ataque de suplantación de DNS.

Puede supervisar y resolver los problemas de entregabilidad habilitando TLS-RPT, lo que permite a los receptores enviar a través de SMTP informes TLS a su dirección de correo electrónico. Esto le ayudaría a estar al tanto de los problemas con una conexión no encriptada. 

Activar el registro y la supervisión de las consultas DNS

Habilite el registro y la supervisión de las consultas DNS para que pueda rastrear cualquier cambio no autorizado realizado en sus servidores DNS.

Palabras finales

La suplantación de DNS puede ser extremadamente incómoda tanto para los visitantes como para los propietarios de los sitios web. La principal motivación de un atacante para realizar un ataque de suplantación de DNS es el beneficio personal o la transmisión de malware. Como resultado, seleccionar un servicio de alojamiento de DNS fiable que emplee las medidas de seguridad actuales como propietario de un sitio web es fundamental.

Además, como visitante de un sitio web, debe "ser consciente de su entorno", ya que si observa cualquier discrepancia entre el sitio web que esperaba visitar y el que está navegando en ese momento, debe abandonar inmediatamente ese sitio web e intentar alertar al propietario del sitio web legítimo.

Últimas publicaciones de Ahona Rudra (ver todas)
¿Cómo solucionar el problema de la actualización de la configuración de autenticación DKIM?Ha fallado la actualización de la configuración de la autenticación DKIMPing Spoofing¿Qué es el Ping Spoofing?