Guía básica sobre el secuestro de DNS: prácticas recomendadas para empresas

¿En qué consiste el secuestro de DNS?

Durante un ataque de secuestro de DNS, un tercero redirige a los usuarios de la web de su empresa a sitios web falsos para robarles sus credenciales de inicio de sesión y otros datos sin que el usuario se dé cuenta. Los secuestradores también pueden recopilar información de los correos electrónicos de la empresa para lanzar sofisticadas campañas de «phishing» y otros ataques que parecen provenir de sus dominios. Al margen de los riesgos para la seguridad de los datos y el perjuicio para la marca, esto plantea importantes problemas de privacidad, sobre todo teniendo en cuenta normativas como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

¿Cómo se produce el secuestro de DNS?

A un nivel básico, el DNS funciona como la libreta de direcciones de Internet. Cuando un usuario escribe un nombre de dominio en un navegador web, el DNS convierte ese nombre en una dirección de protocolo de Internet (IP) correspondiente (una cadena única de números) que los navegadores web utilizan para identificar el destino al que se dirige el tráfico.

Por qué el DNS es esencial:
porque conecta con

• páginas web;

• API internas y externas;

• aplicaciones y correo electrónico;

• VoIP y mensajería instantánea;

• integración en la nube;

• autentificación y control: O365, DMARC, SPF, Google, DNSSEC.

El secuestro de DNS se produce cuando ciberdelincuentes ponen en peligro este proceso al alterar los registros DNS, redirigir las consultas o hacerse con el control de los servidores DNS, lo que provoca que las solicitudes legítimas se envíen a sitios maliciosos en diferentes entornos de alojamiento. Esto sucede cuando las cuentas de los proveedores de DNS se ven afectadas, hay fallos de seguridad en los servidores DNS o la infraestructura de red no está bien protegida, como en el caso de los enrutadores con credenciales predeterminadas.

Secuestro de DNS frente a otras amenazas basadas en DNS

Secuestro de DNS frente a secuestro de dominios

El secuestro de dominio o secuestro de nombre de dominio, permite a los ciberdelincuentes hacerse con el control total de un dominio mediante el robo de las credenciales del registrador o la transferencia fraudulenta de la propiedad. A diferencia del secuestro de DNS, que manipula las rutas de resolución sin necesidad de cambiar la propiedad del dominio, el secuestro de dominios permite a los ciberdelincuentes alterar la configuración del DNS, transferir dominios o retenerlos para pedir un rescate, lo que provoca la interrupción prolongada del servicio. Por su parte, el secuestro inverso de dominios es una táctica de litigio legal en la que una parte reclama falsamente derechos de marca registrada para arrebatar un dominio a su legítimo propietario, sin tener ninguna relación con el secuestro de DNS o el secuestro de dominios. Para obtener más información, consulte cómo afectan a las empresas la ciberocupación, el «typosquatting» o allanamiento de error tipográfico y otros conflictos relacionados con los dominios.

Secuestro de DNS frente a envenenamiento de DNS

En un ataque de envenenamiento de DNS, los ciberdelincuentes introducen registros falsos en la caché de un solucionador de DNS. Esto provoca que el solucionador devuelva una dirección IP incorrecta, que intercepta y redirige a los usuarios a sitios web maliciosos. Los registros envenenados suelen caducar tras actualizarse la caché.

Al redirigir el tráfico mediante secuestro o envenenamiento de DNS, los ciberdelincuentes consiguen engañar a los usuarios para que accedan a sitios maliciosos. El envenenamiento de DNS resulta especialmente peligroso, ya que permite a los ciberdelincuentes interceptar y alterar la comunicación, facilitando los llamados «man-in-the-middle» o ataques de intermediario. Por su parte, el secuestro de DNS se centra en redirigir a los usuarios hacia destinos controlados por el atacante, donde podrían introducir sus credenciales o descargar programas de «malware» sin darse cuenta.

Ataques «man-in-the-middle» o ataques de intermediario

• Son aquellos en los que la conexión original entre el usuario y el sitio web es interceptada y manipulada por un intermediario.

Secuestro de DNS frente al «shadowing» o camuflaje de dominios

El «shadowing» o camuflaje de dominios es otra amenaza basada en DNS en la que los ciberdelincuentes utilizan credenciales robadas para acceder a la configuración del dominio. En lugar de modificar los registros DNS existentes, los ciberdelincuentes crean nuevos subdominios maliciosos sin el conocimiento del propietario del dominio. A diferencia del secuestro de DNS, que redirige dominios completos, el «shadowing» o camuflaje de dominios mantiene operativo el dominio principal, lo que dificulta su detección. Estos subdominios maliciosos suelen utilizarse para campañas de «phishing» o para la distribución de software malicioso. Obtenga más información sobre otras formas en que los ciberdelincuentes se pueden aprovechar de los subdominios.

Tres vectores de ataque utilizados para el secuestro de DNS

En ciberseguridad, los vectores se refieren a métodos o vías específicas a través de las cuales se lleva a cabo una operación. Existen tres vectores principales que los piratas informáticos utilizan para el secuestro de DNS.

Cómo impedir el secuestro de DNS

Cuando se produce un secuestro de DNS, se recomienda tomar medidas de forma inmediata. A continuación, detallamos los pasos fundamentales para hacer frente a la violación de la seguridad:

1. Recupere el control de su entorno DNS accediendo a la cuenta de su registrador de dominios o a la del proveedor de DNS y anule cualquier cambio realizado por los atacantes. Asegúrese de que todos los registros DNS dirigen a los servidores correctos para restablecer la conexión adecuada.
2. Cambie las contraseñas y active la verificación en dos pasos en su registrador de dominios y en las cuentas DNS para bloquear el acceso no verificado.
3. Elimine las entradas DNS maliciosas. Si los atacantes han modificado los registros DNS, sustituya las entradas maliciosas por la información correcta de su sitio web o servicio. De este modo, se evitará que los usuarios sean redirigidos a sitios web maliciosos.
4. Informe del incidente a sus equipos internos, socios y clientes. Avíseles que deben evitar los sitios afectados hasta el problema se haya resuelto.
5. Supervise el tráfico DNS para comprobar si hay signos de más manipulación y actividad inusual después de corregir los registros y la configuración del DNS.
6. Lleve a cabo una auditoría exhaustiva de las medidas de seguridad para determinar cómo se produjo el secuestro. Ello podría implicar reforzar sus mecanismos de defensa, como proteger su proveedor de DNS, sus redes y sus cuentas, a fin de evitar futuros incidentes.

Cómo reducir el riesgo de secuestro de DNS

Si bien es importante saber cómo detener un secuestro de DNS, es mucho más importante evitar que ocurra. Plantéese adoptar las siguientes estrategias para protegerse frente al secuestro de DNS:

• Asegúrese de que las cuentas de su registrador de dominios y del proveedor de DNS estén protegidas con contraseñas seguras y únicas, verificación en dos pasos y métodos de inicio de sesión único (SSO). Esto impide el acceso indebido a la configuración de DNS.
• Implemente extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para añadir una capa adicional de protección mediante la verificación de la autenticidad de las respuestas DNS.
• Revise periódicamente los certificados de capa de conexión segura (SSL) y de seguridad de la capa de transporte (TLS) con una herramienta de gestión de certificados, para asegurarse de que son válidos, están configurados correctamente y se renuevan en el plazo establecido. Así evitará que los ciberdelincuentes suplanten su sitio web en caso de intento de secuestro de DNS.
• Proteja sus enrutadores, servidores y redes internas cambiando las contraseñas predeterminadas, utilizando cifrado seguro y manteniendo todo el «firmware» actualizado. Así se limitan los puntos débiles que pudieran ser utilizados para infiltrarse en su DNS.
• Lleve a cabo auditorías periódicas de los registros DNS y del tráfico para detectar cualquier cambio inusual. La detección precoz de actividades sospechosas permite frenar una infracción antes de que se produzca.
• Elija un proveedor de DNS de confianza que ofrezca sólidas medidas de seguridad y supervisión continua. Un proveedor de confianza le ayudará a identificar los puntos débiles y le avisará de posibles amenazas antes de que se agraven.

Cómo ayuda el bloqueo de registros a prevenir el secuestro de dominios

Proteja su empresa frente al secuestro de DNS

CSC ofrece soluciones para gestionar una gran variedad de amenazas. DomainSec^SM le ofrece una visión integral sobre las deficiencias de seguridad que le hacen vulnerable a los ataques. Centenares de las principales empresas del mundo utilizan nuestros servicios de seguridad, como MultiLock, nuestra versión del bloqueo del registro, para proteger su empresa y sus marcas. Estas soluciones constituyen el método más efectivo para minimizar el riesgo en caso de ataque.