DNS son las siglas en inglés de "sistema de nombres de dominio" y se puede describir como el índice de Internet. Permite al usuario acceder a información traduciendo el nombre de un dominio (como kaspersky.com) a la dirección IP correspondiente que un navegador necesita para cargar los recursos de Internet (por ejemplo, artículos como este). Como sistema, DNS se utiliza para rastrear, catalogar y regular sitios web en todo el mundo.
Para tener un panorama más detallado de qué es DNS, debemos observar cómo funciona. Sin embargo, es importante aclarar primero los términos involucrados en este tema:
Una dirección de Protocolo de Internet (IP) es el número que se le asigna a cada ordenador y servidor único. Estos ID son lo que los ordenadores usan para encontrarse y "hablar" entre sí.
Un dominio (o nombre de dominio) es un nombre de texto que los seres humanos utilizan para recordar, identificar y conectarse a sitios web específicos y a sus servidores. Por ejemplo, un dominio como "www.kaspersky.com" se utiliza como una forma sencilla de comprender el ID del servidor objetivo; es decir, una dirección IP.
Los servidores del sistema de nombres de dominio (servidores DNS o servidores de nombres DNS) son un conjunto de cuatro tipos de servidores que componen el proceso de "búsqueda de DNS". Incluyen el servidor de nombres de resolución, servidores de nombres raíz, servidores de nombres de dominio de primer nivel (TLD) y servidores de nombres autoritativos. Para comprender mejor, especifiquemos los detalles de cada uno de estos servidores:
Ahora que establecimos la definición de DNS y tenemos una comprensión general del DNS y sus servidores, podemos examinar cómo funciona exactamente.
Cuando buscas un sitio web a través de un nombre de dominio en el navegador, comienzas un proceso que se denomina "búsqueda". El recorrido completo de la búsqueda tiene 6 etapas:
El proceso de búsqueda de DNS es el marco esencial que todo Internet utiliza. Lamentablemente, los delincuentes pueden explotar las vulnerabilidades de DNS, lo que significa que debes estar atento a posibles estafas por medio de redirecciones, a menudo llamadas "suplantación" y "envenenamiento". Para evitar estas amenazas, expliquemos qué es la suplantación de DNS y el envenenamiento de DNS, y cómo funcionan.
La suplantación y el envenenamiento del Sistema de nombres de dominio (DNS) son tipos de ciberataques que aprovechan las vulnerabilidades del servidor DNS para desviar el tráfico de los servidores legítimos y dirigirlo hacia los falsos. Una vez que llegas a la página fraudulenta, te sientes desconcertado por no saber cómo resolverlo, a pesar de que eres el único que puede hacerlo. Deberás saber exactamente cómo funciona para protegerte.
La suplantación de DNS y, por ende, el envenenamiento de caché de DNS está entre los ciberataques más engañosos. Si no entiendes cómo Internet te conecta con los sitios web, podrías pensar que el sitio web está hackeado. En algunos casos, solo tu dispositivo puede verse afectado. En casos peores, los paquetes de ciberseguridad solo pueden detener parte de las amenazas relacionadas con la suplantación de DNS.
En cuanto al DNS, las amenazas más destacadas son dos:
Entre los diferentes métodos de ataque de suplantación de DNS, estos son algunos de los más comunes:
Engaño del intermediario: Cuando un atacante se para entre el navegador web y el servidor DNS. Se utiliza una herramienta para el envenenamiento simultáneo de caché en el dispositivo local y el envenenamiento del servidor DNS. Como resultado, se redirecciona a la víctima a un sitio malicioso que está alojado en el servidor local del atacante.
Secuestros de servidores DNS: El delincuente directamente reconfigura el servidor para redireccionar a todos los usuarios que envían una solicitud al sitio web malicioso. Una vez que se inyecta una entrada de DNS fraudulenta en el servidor DNS, cualquier solicitud de la dirección IP del dominio suplantado se redireccionará al sitio falso.
Envenenamiento de caché de DNS por spam: El código que logra el envenenamiento de caché de DNS suele encontrarse en direcciones URL enviadas a través de correo spam. Con estos correos electrónicos se persigue incitar a los usuarios a que hagan clic en las URL proporcionadas y, de este modo, infectar sus equipos. Las imágenes y los anuncios de los banners, tanto en correos electrónicos como en sitios web no fiables, también pueden redirigir a los usuarios a este código. Una vez envenenado, el equipo te llevará a sitios web falsos que están suplantados para imitar a los reales. Es en este momento que se introducen las verdaderas amenazas a los dispositivos.
Estos son algunos riesgos comunes de la suplantación y el envenenamiento de DNS:
La suplantación de DNS plantea varios riesgos, y cada uno pone en peligro tus dispositivos y datos personales.
El robo de datos puede ser especialmente lucrativo para los atacantes que implementan la suplantación de DNS. Los sitios web de operaciones bancarias y las tiendas online más conocidas se pueden falsificar con facilidad, lo que supone un riesgo para las contraseñas, los datos de las tarjetas de crédito o la información personal. Las redirecciones serían a sitios web de phishing diseñados para recopilar tu información.
La infección de malware es otra amenaza común de la suplantación de DNS. Cuando una suplantación te redirecciona, el destino podría terminar siendo un sitio infectado con descargas maliciosas. Las descargas ocultas son una forma sencilla de automatizar la infección de tu sistema. A la larga, si no usas seguridad de Internet, estás expuesto a riesgos como spyware, keyloggers o gusanos.
Las actualizaciones de seguridad detenidas pueden ser consecuencia de una suplantación de DNS. Si los sitios suplantados incluyen proveedores de seguridad de Internet, no se llevarán a cabo actualizaciones de seguridad legítimas. Como resultado, tu equipo puede estar expuesto a amenazas adicionales, como virus o troyanos.
La censura es un riesgo que en realidad es habitual en algunas partes del mundo. Por ejemplo, China utiliza modificaciones al DNS para asegurarse de que todos los sitios web a los que se acceden dentro del país estén aprobados. Este bloqueo a nivel nacional, apodado el "Gran Firewall", es uno de los ejemplos del poder que puede tener la suplantación de DNS.
Eliminar el envenenamiento de caché de DNS es particularmente difícil. Dado que borrar un servidor infectado no libra a un equipo o dispositivo móvil del problema, el dispositivo volverá al sitio suplantado. Además, los equipos limpios que se conectan a un servidor infectado volverán a correr riesgo.
Cuando se trata de prevenir la suplantación de DNS, hay limitadas protecciones de usuario final. Los propietarios de sitios web y proveedores de servidores tienen más capacidades para protegerse a ellos mismos y a sus usuarios. Para que todos se mantengan seguros, ambas partes deben intentar evitar las suplantaciones.
Estas son las maneras de prevenir estos ataques para propietarios de sitios web y proveedores de servidores DNS:
Puedes prevenir estas amenazas para los usuarios de endpoints de las siguientes maneras:
Como propietario de un sitio web o proveedor de un servidor DNS, la responsabilidad de defender a los usuarios está firmemente en tus manos. Puedes implementar varias herramientas y protocolos de protección para bloquear las amenazas. Entre estos recursos, sería prudente usar algunos de los siguientes:
Los usuarios son particularmente vulnerables a estos tipos de amenazas. Para evitar ser víctima de un ataque de envenenamiento de DNS, debes seguir estos consejos básicos:
No quedes vulnerable a la suplantación de DNS y a los ataques de malware. Protégete hoy mismo con los productos de seguridad Kaspersky Home.
Artículos y enlaces relacionados:
Productos relacionados: