LOS CIBERDELINCUENTES PONEN EN PELIGRO NOMBRES DE DOMINIO Y DNS
El secuestro de nombres de dominio y de sistemas de nombres de dominio (DNS) es grave y cada vez más frecuente y puede costarle dinero y pérdida de reputación. El secuestro de dominio permite a terceros redirigir a los visitantes del sitio web de su empresa hacia sitios falsos con ánimo de robar credenciales de acceso e información confidencial. Los secuestradores de DNS también pueden recabar información a partir de los correos electrónicos de la empresa para lanzar sofisticados ataques de suplantación de identidad contra clientes y empleados utilizando los propios dominios de la empresa. De este modo, el ataque parece legítimo. Ello no solo constituye un riesgo grave para la información, sino una pesadilla para la privacidad, especialmente a la luz de políticas de privacidad gubernamentales más estrictas como el Reglamento General de Protección de Datos (RGPD).
¿CÓMO ATACAN LOS CIBERDELINCUENTES A LOS DNS?
A nivel básico, el DNS hace las veces de agenda de direcciones de internet. Es responsable de traducir los nombres de dominio introducidos por su correspondiente dirección IP (una cadena única de dígitos) que los navegadores web utilizan para identificar el enrutamiento del tráfico. Este proceso, al igual que otros protocolos, no tiene mucha visibilidad, pero sostiene toda la actividad del internet público. Por tanto, las actividades maliciosas para corromper o vulnerar los DNS no solo constituyen una amenaza para usuarios y organizaciones, sino que pueden comprometer la confianza general hacia la propia red de redes.
El reciente análisis de KrebsOnSecurity «¿Cuenta su dominio con bloqueo de registros?» pone de manifiesto la magnitud mundial de esta amenaza. Análogamente, una investigación de CSC ha puesto de manifiesto que el 78 % de las compañías más valiosas del mundo no han implementado medidas fundamentales de seguridad de nombres de dominio, por ejemplo, el bloqueo de registros del dominio. La investigación demuestra que esta situación constituye un problema sistémico que puede poner en riesgo organizaciones de cualquier tamaño, ubicación geográfica y sector.
Más información sobre cómo mitigar la amenaza del secuestro de DNS.
TRES VECTORES DE ATAQUE PARA EL SECUESTRO DE DNS
1
Sistema de gestión de nombres de dominio a nivel de registrador
Este método se aprovecha de las deficiencias en los controles de acceso y permisos de los sistemas de gestión de dominios. Normalmente, el atacante obtiene el nombre de usuario y la contraseña de un portal de registrador que no está protegido por autenticación de dos factores o por validación IP. De este modo puede acceder y modificar los servidores de nombres de los dominios accesibles de la cuenta, pudiendo tomar así el control de los contenidos.
2
Registro de dominios del servidor de nombres
El propio registro puede verse en peligro. Es famoso el caso de un registro en Brasil en 2016, en el que 36 dominios bancarios del país fueron redireccionados a sitios web falsos, reconstruidos a la perfección, durante seis horas. Los sitios web fraudulentos disponían incluso de certificados digitales válidos expedidos a nombre de la entidad bancaria, con lo que se conseguía engañar a los clientes cuyos ordenadores quedaban infectados con un malware que pasaba por una actualización de complementos de seguridad del navegador del banco.
3
Los sistemas del proveedor de DNS
Este ataque se basa en una vulnerabilidad de los sistemas o procesos del registrador, permitiendo así el acceso no autorizado al DNS por medio de credenciales robadas.
DOMAIN SHADOWING: UN ATAQUE MÁS SAGAZ
En lugar de modificar los servidores de nombres, los ciberdelincuentes pueden cambiar los archivos de zona de un dominio. Suelen dejar intacto el sitio web, pero añaden un subdominio en el archivo de zona que se puede utilizar en un ataque de phishing (suplantación de identidad).
Cuesta mucho más identificar este procedimiento que una modificación del DNS o del archivo de zona existentes. En 2015, unos investigadores de ciberamenazas de Cisco® Talos informaron de que el Angler Exploit Kit había comenzado a utilizar la técnica de domain shadowing o camuflaje de dominios para evitar la detección y el bloqueo. Desde entonces, este vector de ataque ha seguido aumentando en escala.
RECOMENDACIONES PARA MITIGAR EL RIESGO
Incorpore prácticas de dominios seguros, DNS y certificados digitales como medidas generales de ciberseguridad
Utilice una estrategia de defensa exhaustiva para proteger sus dominios, DNS y certificados digitales
Seleccione un proveedor de tipo empresarial
Proteja el acceso a los sistemas de gestión de dominios y DNS (autenticación de dos factores, validación IP, identidad federada)
Controle los permisos de usuario
Aproveche las funciones avanzadas de seguridad de dominios
Identifique, comprenda y utilice proactivamente las medidas de seguridad apropiadas para sus principales nombres de dominio (CSC Security CenterSM)
Identificación continua de los principales nombres de dominio
Bloqueo de registros
Extensiones de seguridad de DNS (DNSSEC)
Autenticación de mensajes, informes y conformidad basados en el dominio (DMARC)
Consolide su dominio, DNS y proveedores de certificados digitales con un proveedor de tipo empresarial
Más información sobre cómo puede ayudarle CSC a proteger sus dominios, DNS y certificados digitales.
LIDERAZGO DEL PENSAMIENTO CSC
BLOG
DNS: La amenaza creciente de secuestros de DNS y domain shadowing
En esta publicación analizaremos a fondo el secuestro de DNS y el domain shadowing.
BLOG
Secuestro de DNS a nivel mundial y cómo CSC protege sus activos digitales
En el mundo de la ciberdelincuencia, las noticias se suceden sin pausa. De hecho, hay dos nuevos artículos que analizan el secuestro de sistemas de nombre de dominio (DNS).
COMUNICADO DE PRENSA
CSC avisa a las empresas sobre el aumento de secuestros de DNS
Lecciones sobre seguridad de los últimos incidentes.
ESTAMOS PREPARADOS PARA HABLAR CON USTED
CSC puede ayudarle a gestionar los riesgos del secuestro de DNS (DNS hijacking). CSC Security Center utiliza algoritmos avanzados propios para exponer los puntos ciegos de seguridad en su sistema que pueden ser objetos de ataque. Cientos de las empresas más importantes del mundo utilizan nuestros servicios de seguridad —tales como MultiLock o la autenticación de dos factores— para proteger su organización y sus marcas. Estas soluciones ofrecen el método más fiable para minimizar los riesgos en caso de ataque.