{"id":18155,"date":"2019-04-01T18:06:29","date_gmt":"2019-04-01T16:06:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18155"},"modified":"2019-11-22T10:54:51","modified_gmt":"2019-11-22T08:54:51","slug":"grand-theft-dns-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/grand-theft-dns-rsa2019\/18155\/","title":{"rendered":"La manipulaci\u00f3n del DNS, un ciberataque contra las compa\u00f1\u00edas"},"content":{"rendered":"<p>En la <strong>conferencia RSA 2019<\/strong>, el SANS Institute inform\u00f3 sobre nuevas variedades de ataque que consideraban altamente peligrosas. En esta publicaci\u00f3n hablaremos sobre una de ellas.<\/p>\n<p>Un ataque descubierto por un instructor del SANS Institute puede utilizarse para tomar el control total de la infraestructura inform\u00e1tica de una compa\u00f1\u00eda sin necesidad de herramientas demasiado complejas, tan solo con una simple <strong>manipulaci\u00f3n del DNS<\/strong>.<\/p>\n<h3>Manipulaci\u00f3n de la infraestructura del DNS empresarial<\/h3>\n<p>As\u00ed funciona el ciberataque:<\/p>\n<ul>\n<li>Los cibercriminales recopilan (por todos los medios) contrase\u00f1a y nombre de usuario de cuentas comprometidas, de las cuales actualmente hay cientos de millones, si no miles de millones, en bases de datos conocidas, como <strong><a href=\"https:\/\/www.kaspersky.es\/blog\/collection-numba-one\/17699\/\" target=\"_blank\" rel=\"noopener\">Collection #1<\/a><\/strong>.<\/li>\n<li>Utilizan estas credenciales para iniciar sesi\u00f3n en servicios de proveedores de DNS y de registradores de dominio.<\/li>\n<li>Despu\u00e9s, los intrusos modifican los registros del DNS, sustituyendo la infraestructura del dominio corporativo por las suyas propias.<\/li>\n<li>En concreto, modifican el <a href=\"https:\/\/es.wikipedia.org\/wiki\/MX_(registro)\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">registro MX<\/a>\u00a0e interceptan los mensajes redirigiendo todos los correos electr\u00f3nicos corporativos a su propio servidor de correo.<\/li>\n<li>Los <strong>ciberdelincuentes<\/strong> registran certificados TLS para los dominios borrados. Entonces, ya pueden interceptar el correo corporativo y proporcionar una prueba de la propiedad del dominio, que en la mayor\u00eda de los casos es todo lo necesario para emitir un certificado.<\/li>\n<\/ul>\n<p>Despu\u00e9s, los atacantes pueden redireccionar el tr\u00e1fico que se dirige a los servicios de la compa\u00f1\u00eda a sus propias m\u00e1quinas. Como resultado, los visitantes de la p\u00e1gina web de la empresa acceden a <strong>sitios falsos<\/strong> que parecen aut\u00e9nticos para todos los filtros y sistemas de protecci\u00f3n. Ya nos enfrentamos por primera vez a esta situaci\u00f3n en el 2016, cuando los investigadores de nuestro equipo GReAT en Brasil destaparon un ataque que permiti\u00f3 a los intrusos <a href=\"https:\/\/www.wired.com\/2017\/04\/hackers-hijacked-banks-entire-online-operation\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">secuestrar la infraestructura de un banco importante<\/a>.<\/p>\n<p>Lo realmente peligroso de este ciberataque es que la v\u00edctima pierde el contacto con el mundo exterior. <strong>Secuestran el correo electr\u00f3nico<\/strong> y, normalmente, tambi\u00e9n los tel\u00e9fonos (la gran mayor\u00eda de las empresas utilizan telefon\u00eda IP). Todo esto complica tanto la respuesta al incidente como la comunicaci\u00f3n con las organizaciones externas: proveedores de DNS, autoridades de certificaci\u00f3n, fuerzas del orden y dem\u00e1s. \u00bfTe imaginas que todo esto tenga lugar en una semana? \u00a1Pues ese es el caso de este banco brasile\u00f1o!<\/p>\n<h3>C\u00f3mo evitar el secuestro de tu infraestructura inform\u00e1tica manipulando el DNS<\/h3>\n<p>Lo que en el 2016 no era m\u00e1s que una innovaci\u00f3n en el mundo del <strong>cibercrimen<\/strong>, se convirti\u00f3 en un par de a\u00f1os en una pr\u00e1ctica com\u00fan. De hecho, en el 2018, muchas empresas l\u00edderes registraron su uso. Es decir, nos encontramos ante una amenaza real que podr\u00eda utilizarse para aprovecharse de tu infraestructura inform\u00e1tica.<\/p>\n<p>Para protegerte contra la manipulaci\u00f3n de los nombres de dominio de tu infraestructura, Ed Skoudis piensa que puedes seguir estos <strong>consejos de ciberseguridad<\/strong>:<\/p>\n<ul>\n<li>Utilizar la <strong>autenticaci\u00f3n de varios factores<\/strong> en las herramientas de gesti\u00f3n de tu infraestructura inform\u00e1tica.<\/li>\n<li>Utilizar DNSSEC, asegur\u00e1ndote de que no solo aplicas la firma DNS, sino tambi\u00e9n la validaci\u00f3n.<\/li>\n<li>Supervisa todos los cambios en el DNS que puedan afectar a los nombres de dominio de tu empresa, por ejemplo, puedes utilizar SecurityTrails, que admite hasta 50 solicitudes al mes de forma gratuita.<\/li>\n<li>Supervisa los certificados antiguos que dupliquen tus dominios y solicita su anulaci\u00f3n de inmediato. Para m\u00e1s informaci\u00f3n sobre este tipo de ciberataques, no te pierdas esta publicaci\u00f3n: <a href=\"https:\/\/www.kaspersky.es\/blog\/residual-certificates-mitm-dos\/16840\/\" target=\"_blank\" rel=\"noopener\"><em>Ataques MitM y DoS en dominios mediante certificados antiguos<\/em><\/a>.<\/li>\n<\/ul>\n<p>Y, por \u00faltimo, recuerda <strong>utilizar contrase\u00f1as seguras<\/strong>. Deber\u00edan de ser lo suficientemente \u00fanicas y complejas como para resistir un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dictionary-attack\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">ataque diccionario<\/a>. Para generar contrase\u00f1as y almacenarlas de forma segura, puedes utilizar Kaspersky Password Manager, parte de nuestra soluci\u00f3n de seguridad Kaspersky Small Office Security.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En la RSAC 2019, un instructor del SANS Institute dio una charla sobre c\u00f3mo se utiliza la manipulaci\u00f3n del DNS para secuestrar la infraestructura inform\u00e1tica de una compa\u00f1\u00eda. <\/p>\n","protected":false},"author":421,"featured_media":18156,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,6],"tags":[731,1051,260,2119,2752,2875,1225,2619],"class_list":{"0":"post-18155","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-news","10":"tag-certificados","11":"tag-ciberataque","12":"tag-conferencia-rsa","13":"tag-dns","14":"tag-dominios","15":"tag-rsa2019","16":"tag-rsac","17":"tag-tls"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/grand-theft-dns-rsa2019\/18155\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/grand-theft-dns-rsa2019\/15537\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/13082\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/17460\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/grand-theft-dns-rsa2019\/15609\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/14290\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/grand-theft-dns-rsa2019\/17119\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/grand-theft-dns-rsa2019\/22528\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/grand-theft-dns-rsa2019\/5853\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/26255\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/grand-theft-dns-rsa2019\/11655\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/grand-theft-dns-rsa2019\/10568\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/grand-theft-dns-rsa2019\/18904\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/grand-theft-dns-rsa2019\/22928\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/grand-theft-dns-rsa2019\/18188\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/grand-theft-dns-rsa2019\/22390\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/grand-theft-dns-rsa2019\/22326\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18155"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18155\/revisions"}],"predecessor-version":[{"id":19831,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18155\/revisions\/19831"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18156"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}