Guía completa para saber en qué consiste el envenenamiento de DNS

¿Qué es un ataque de envenenamiento de DNS?

El DNS es la infraestructura que permite el funcionamiento de Internet, ya que se encarga de convertir los nombres de dominio, que son fáciles de recordar para los usuarios, en direcciones IP (protocolo de Internet) numéricas que son reconocidas por los ordenadores. Al introducir la URL de un sitio web en un navegador, se inicia una serie de consultas en Internet que, tras un complejo proceso, dirige a los usuarios al sitio web deseado, normalmente en cuestión de milisegundos.

Estas consultas de Internet se dirigen primero al proveedor de servicios de Internet (ISP, por sus siglas en inglés) y, si el ISP tiene la dirección IP almacenada, guardada, en caché, el ordenador accede a la ubicación web correcta. Si el ISP se ha visto comprometido, los ciberdelincuentes habrán sustituido la dirección IP almacenada en caché por un sitio web fraudulento que ellos controlan, redirigiendo así el tráfico web de la empresa hacia el contenido que ellos elijan.

En pocas palabras, los ciberdelincuentes acceden a servidores (como los ISP) y sustituyen la información guardada por sus propios sitios web maliciosos, lo que se denomina envenenamiento de DNS. A este tipo de ataque también se le conoce como envenenamiento de caché, envenenamiento de caché del DNS o envenenamiento de dominio.

El resultado es la suplantación de DNS, que consiste en redirigir a los usuarios de su sitio web a otro fraudulento con una marca idéntica, donde, sin saberlo, facilitan información confidencial o credenciales, al creer que están interactuando con la empresa legítima, con el riesgo de descargar software malicioso y virus.

Envenenamiento de la caché frente a los ataques de suplantación de DNS

El envenenamiento de DNS es un tipo de ataque de suplantación de DNS. En un ataque de suplantación de DNS se introducen datos de DNS falsos para redirigir a los usuarios hacia sitios web fraudulentos sin que estos sean conscientes de ello. El envenenamiento de la caché del DNS se dirige concretamente a los mecanismos de almacenamiento en caché de los solucionadores DNS, introduciendo registros maliciosos que permanecen activos hasta que la caché caduca o se borra manualmente. Un registro DNS envenenado afecta no solo al acceso directo al sitio web, sino también a otros servicios que dependen de Internet y que necesitan solicitudes web para funcionar.

Envenenamiento de la caché de DNS frente al secuestro de DNS

A diferencia del secuestro de DNS, que implica cambiar la configuración del DNS a nivel de dominio, el envenenamiento de la caché manipula las respuestas almacenadas en la caché del solucionador DNS. Es decir, aunque los registros DNS oficiales de una empresa sigan siendo seguros, los usuarios que utilicen solucionadores que se hayan visto comprometidos podrían seguir siendo redirigidos debido a claves de caché manipuladas. El impacto suele ser temporal y afecta únicamente a los usuarios que utilizan el servidor DNS manipulado. Una vez que la caché se borra o actualiza, la filtración finaliza.

El secuestro de DNS consiste en hacerse con el control directo de la configuración DNS de un dominio y su impacto se prolonga hasta que los registros DNS se corrigen manualmente.

Envenenamiento de la caché de DNS frente al envenenamiento de la caché web

El envenenamiento de la caché de DNS y el envenenamiento de la caché web suelen confundirse, aunque se trata de amenazas distintas. El envenenamiento de la caché de DNS manipula las memorias caché de los solucionadores DNS para redirigir a los usuarios a sitios web fraudulentos, mientras que el envenenamiento de caché web aprovecha los puntos vulnerables de los encabezados HTTP o los mecanismos de almacenamiento en caché para almacenar y distribuir contenido malicioso. Aunque ambas técnicas implican el almacenamiento temporal de copias de datos («caching»), el envenenamiento de la caché de DNS afecta a la forma en que los usuarios acceden a un sitio, mientras que el envenenamiento de la caché web afecta al contenido que se muestra una vez que se ha accedido al sitio.

Consecuencias del envenenamiento de dominios

Aunque el envenenamiento de la caché DNS se ha vuelto menos frecuente en los últimos años, sigue representando una amenaza para las empresas, ya que agrava la vulnerabilidad y conduce a ataques más graves y estafas de «phishing». La redirección de usuarios desde sitio web original daña la reputación de la marca y conlleva la pérdida de ingresos y de la confianza de los clientes. Además, las empresas podrían enfrentarse a demandas judiciales tras un incidente de seguridad.

Cómo detectar el envenenamiento de la caché del DNS

La señal más evidente de este tipo de actividad es cuando los clientes y empleados informan de que han accedido a un sitio web incorrecto o han recibido mensajes de error inusuales. Otras señales de alerta incluyen encontrar direcciones IP que no coinciden en los registros DNS y picos repentinos en las consultas a dominios desconocidos o poco utilizados. Afortunadamente, existen herramientas de supervisión automatizadas capaces de comprobar continuamente la integridad de los registros DNS e identificar cualquier discrepancia que pueda surgir.

Cómo solucionar un ataque de envenenamiento de la caché

Las empresas deben actuar con rapidez cuando se detecta una violación de la seguridad para mitigar los daños. Lo primero que se debe hacer es borrar la caché DNS de los servidores afectados. Así se eliminan los registros falsos que haya podido introducir el intruso y se obliga al servidor DNS a buscar la información correcta en fuentes de confianza.

Por lo general, esto se puede hacer mediante comandos del sistema. Los pasos concretos a seguir dependerán del sistema operativo o del software DNS que se utilice. Por ejemplo:

• En servidores Windows: utilice el comando «ipconfig /flushdns».

• En servidores Linux o macOS: utilice los comandos «sudo systemd-resolve --flush-caches» o «sudo dscacheutil -flushcache», según el sistema.

Una vez borrada la caché, compruebe que el servidor DNS está recuperando la información correcta de fuentes fidedignas.

Cómo prevenir el envenenamiento de DNS

Reforzar las defensas desde el primer momento es la mejor forma de garantizar que una red siga siendo segura y resiliente.

Utilice extensiones de seguridad DNS (DNSSEC) para proteger a los usuarios de su sitio web contra datos DNS falsificados. Cuando se crearon los DNS, la seguridad no se planteó como una prioridad. Las DNSSEC se diseñaron para subsanar este fallo, mediante la verificación de las consultas y respuestas del DNS con firmas digitales.

La adopción de DNSSEC ha ido en aumento durante los últimos años, aunque todavía está lejos de ser una práctica universal. No obstante, es una de las medidas de seguridad más recomendadas para prevenir el envenenamiento de la caché de DNS.

Otras formas de prevenir el envenenamiento de la caché de DNS incluyen:

• la selección de un proveedor de DNS de confianza, con una sólida reputación en materia de seguridad;
• la restricción de las consultas recursivas de DNS y las transferencias de zona únicamente a usuarios de confianza;
• la reducción del valor del tiempo de vida (TTL, por sus siglas en inglés) de los registros DNS para limitar la permanencia de datos potencialmente contaminados en la caché;
• la supervisión del tráfico DNS en busca de anomalías, como picos inesperados o patrones irregulares que puedan indicar intentos de envenenamiento.

La aplicación de medidas como DNSSEC, el uso de un proveedor de DNS de confianza y la vigilancia constante permite a las empresas proteger mejor sus dominios y a sus clientes frente a posibles ataques.

Utilice un servicio DNS de confianza

Seleccionar una plataforma de seguridad DNS avanzada le permite evitar ataques como el envenenamiento de la caché de DNS. CSC ofrece seguridad avanzada, incluyendo la DNSSEC, que protege su infraestructura y garantiza la integridad de su presencia en línea. Evite que un incidente afecte a sus operaciones; póngase en contacto con nosotros e infórmese sobre cómo proteger su marca de las amenazas cada vez más sofisticadas.