Blog de GlobalSign

También conocido como spoofing de DNS, el envenenamiento de la caché de DNS es un ataque diseñado para localizar y luego explotar las vulnerabilidades que existen en un DNS, o sistema de nombres de dominio, con el fin de atraer el tráfico orgánico lejos de un servidor legítimo y hacia uno falso.

La amenaza del envenenamiento de la caché DNS fue noticia a principios de este año, en abril, cuando los servidores DNS del gigante de las criptomonedas MyEtherWallet fueron secuestrados y redirigieron a los usuarios legítimos a un sitio web de suplantación de identidad.

Como resultado del envenenamiento de la caché, varios usuarios fueron engañados para que entregaran las claves de sus carteras antes de transferir sus criptomonedas a otra cartera digital asociada con los hackers. En total, los hackers robaron alrededor de ciento sesenta mil dólares de Ethereum antes de que se identificara y detuviera el problema.

Este es solo un ejemplo que ilustra lo peligroso que puede ser el envenenamiento de la caché de DNS. Otra razón por la que este tipo de ataque es peligroso es porque puede propagarse fácilmente de un servidor DNS a otro.

En este artículo, cubriremos el tema de cómo funciona el envenenamiento de la caché DNS y luego algunas soluciones que puede aplicar para detenerlo si alguna vez le sucede.

Cada vez que su navegador contacta con un nombre de dominio, tiene que ponerse en contacto con el servidor DNS primero.
Los servidores de nombres de dominio (DNS) son el equivalente de Internet a una guía telefónica. Mantienen un directorio de nombres de dominio y los traducen a direcciones de Protocolo de Internet (IP).

Esto es necesario porque, aunque los nombres de dominio son fáciles de recordar para la gente, los ordenadores o máquinas, acceden a los sitios web basándose en las direcciones IP.

El servidor responderá entonces con al menos una dirección IP (pero normalmente más) para que su ordenador pueda llegar al nombre de dominio. Una vez que su ordenador se conecta a la dirección IP, el DNS convierte el nombre de dominio en una dirección IP que su ordenador puede leer.

En este momento, su proveedor de servicios de Internet está ejecutando múltiples servidores DNS, cada uno de los cuales almacena en caché (o guarda) información de otros servidores también. El router Wi-Fi que tiene en su casa actúa esencialmente como un servidor DNS también, ya que almacena en caché la información de los servidores de su ISP.

Una caché DNS se «envenena» cuando el servidor recibe una entrada incorrecta. Para poner esto en perspectiva, puede ocurrir cuando un hacker se hace con el control de un servidor DNS y luego cambia la información en él.

Por ejemplo, pueden modificar la información para que el servidor DNS diga a los usuarios que busquen un determinado sitio web con la dirección equivocada. En otras palabras, el usuario introduciría el nombre «correcto» del sitio web, pero sería enviado a una dirección IP equivocada y, en concreto, a un sitio web de phishing.

Antes mencionamos que una de las razones por las que el envenenamiento de la caché DNS es peligroso es por la rapidez con la que puede propagarse de un servidor DNS a otro. Esto se consigue cuando varios proveedores de servicios de Internet reciben su información DNS del servidor controlado por el hacker, lo que hace que la entrada DNS «envenenada» se extienda a esos proveedores de servicios de Internet para ser almacenada en la caché.

A partir de ese momento, puede extenderse a otros servidores DNS y a los routers domésticos, así como a los ordenadores, que buscarán la entrada DNS para recibir una respuesta incorrecta, lo que hace que cada vez más personas sean víctimas del envenenamiento. Sólo una vez que la caché envenenada haya sido limpiada en todos los servidores DNS afectados, se resolverá el problema.

Cómo protegerse contra el envenenamiento de la caché DNS

Uno de los aspectos complicados del envenenamiento de la caché DNS es que será extremadamente difícil determinar si las respuestas DNS que se reciben son legítimas o no. En el caso de My Ethereum Wallet, tenían medios muy limitados para evitar que la situación se produjera, y el problema fue resuelto en última instancia por sus proveedores de servidores.

Afortunadamente, todavía hay una serie de medidas que su organización puede tomar para evitar que un ataque de este tipo le suceda, por lo que no debe tener la impresión de que el envenenamiento de la caché de DNS es imposible o casi imposible de prevenir.

Por ejemplo, una cosa que debe hacer es que sus servidores DNS sean configurados por un profesional de TI para que dependan muy poco de las relaciones con otros servidores DNS. Esto hace que sea mucho más difícil para un ciberdelincuente utilizar su servidor DNS para corromper sus objetivos, lo que significa que es menos probable que su propio servidor DNS sea corrompido y, por lo tanto, es menos probable que usted (y todos los miembros de su organización) sean redirigidos a un sitio web incorrecto.

Además, puede tener sus servidores DNS configurados para que sólo almacenen datos que estén relacionados específicamente con el dominio solicitado y para que limiten las respuestas a las consultas para que sólo proporcionen información que tenga que ver con el dominio solicitado también. La idea es que el servidor se configure de manera que los servicios requeridos sean los únicos que puedan ejecutarse. Al tener servicios adicionales que no son necesarios para ejecutarse en su servidor DNS, se incrementan en gran medida las probabilidades de que se produzca un ataque.

También debe asegurarse de que se está utilizando la versión más reciente del DNS. Esto se debe a que las versiones más recientes utilizarán características de seguridad como la aleatorización de puertos y los identificadores de transacción que son criptográficamente seguros para ayudar a proteger contra los ataques de envenenamiento.

Otra defensa importante contra el envenenamiento de la caché de DNS, como MyEtherWallet aconsejó en un anuncio tras el ataque que se produjo en abril de 2018, es buscar el nombre de la empresa en la barra de direcciones (por lo que en su caso ‘MyEtherWallet Inc’).
Esto significa que el sitio está utilizando un certificado EV SSL/TLS. Esto ayudaría a evitar que la gente sea víctima de un ataque de envenenamiento, ya que se aseguraría de no introducir sus datos personales en el sitio web de un hacker. No todas las empresas utilizan EV en sus sitios web, por lo que no es una medida infalible, pero puede ser una herramienta útil cuando se trata de determinar si se está en el sitio correcto.

Un certificado SSL/TLS es simplemente un pequeño archivo de datos instalado en un servidor web que puede vincular los detalles de su organización a una clave criptográfica. Una vez instalado, el certificado activará el protocolo HTTPS para permitir una conexión segura y cifrada entre un navegador y su servidor web. En el caso de los certificados SSL/TLS con EV, algunos de esos detalles de la organización, incluido el nombre de la empresa como se ha mencionado anteriormente, se presentarán directamente en la interfaz de usuario del navegador.

Conclusión

En resumen, el envenenamiento de la caché DNS se produce cuando un atacante aprovecha un servidor DNS para enviar una respuesta DNS falsificada que será almacenada en la caché de los servidores legítimos.

Por consiguiente, los usuarios que visiten el dominio corrupto serán enviados a una nueva dirección IP que el hacker ha seleccionado, que suele ser un sitio web de phishing malicioso en el que se puede manipular a las víctimas para que descarguen malware o envíen datos de acceso o financieros.

Tomar los pasos anteriores ayudará a defender a su organización contra los ataques de envenenamiento de la caché de DNS.

Nota: Este artículo del blog fue escrito por un colaborador invitado con el propósito de ofrecer una mayor variedad de contenido a nuestros lectores. Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de GlobalSign.

Deja un comentario