Spoofing de DNS: ¿qué es?, ¿por qué se usa? y ¿cómo evitarlo?

La suplantación de DNS corrompe el sistema de nombres de dominio, desviando el tráfico de Internet de su destino previsto. La suplantación de DNS se utiliza para censurar Internet, redirigir a los usuarios finales a sitios web maliciosos y llevar a cabo ataques DDoS en servidores web.

dns spofing

La suplantación de DNS también se conoce como:

  • Manipulación de DNS
  • Envenenamiento de la caché de DNS
  • Secuestro de DNS
  • Redirección de DNS

En este artículo, explicaremos cómo funciona el sistema de nombres de dominio, qué es la suplantación de DNS, cómo se usa la suplantación de DNS y cómo evitarla.

 

¿Qué es DNS?

DNS son las siglas de Domain Name System. Piense en ello como una especie de guía telefónica para la web. Siempre que hace clic en un enlace o escribe la URL de un sitio web en su navegador web, se envía una solicitud de DNS a un servidor de nombres. El servidor de nombres comprueba su caché de resolución de DNS para «resolver» la URL en la dirección IP del servidor donde está alojado el sitio web. Esto es análogo a buscar el nombre de alguien en la guía telefónica para conocer su número de teléfono.

Al igual que cada persona en la guía telefónica tiene un número de teléfono único, cada sitio web tiene una o más direcciones IP únicas. Una vez que su navegador conozca la dirección IP del sitio web, puede descargar páginas web para que aparezcan en su navegador.

En la mayoría de los casos, este proceso de resolución se completa en cuestión de segundos, o incluso milisegundos, por lo que es posible que ni siquiera se dé cuenta de que está sucediendo mientras navega por la web.

De forma predeterminada, su navegador web probablemente use un servidor de nombres proporcionado por su proveedor de servicios de Internet (ISP). La mayoría de los dispositivos le permiten especificar su servidor de nombres preferido en la configuración de la conexión a Internet. De esta forma, los usuarios pueden optar por utilizar un servidor DNS público o privado. Google DNS es un servidor DNS público popular.

 

¿Qué es la suplantación de DNS?

La suplantación de DNS ocurre cuando alguien, generalmente un hacker, altera las entradas en la caché de resolución de DNS de un servidor de nombres. Esto es similar a cambiar el número de teléfono de alguien en la guía telefónica. Por ejemplo, si alguien cambia la entrada de «Privacy.net», cualquiera de nuestros lectores que use ese servidor de nombres se desviará a la dirección IP que especifique el hacker.

Hay varias razones por las que un pirata informático u otra entidad puede hacer esto:

  • Lanzar un ataque. Al cambiar la dirección IP de un dominio popular como Google.com, por ejemplo, un hacker podría desviar una gran cantidad de tráfico a un servidor incapaz de manejar tanto tráfico. Esto puede hacer que el servidor se ralentice, se detenga y encuentre numerosos errores. Un ataque de «denegación de servicio» de este tipo puede cerrar un sitio web o un servidor de juegos, por ejemplo.
  • Una entrada de DNS dañada puede redirigir a los usuarios a sitios web que no tienen la intención de visitar. Un pirata informático podría usar esto para enviar víctimas a un sitio de phishing. Los sitios de phishing a menudo se ven idénticos al sitio web real, pero son operados por un pirata informático, lo que engaña al usuario para que ingrese información privada, como su nombre de usuario y contraseña. Los ISP a veces utilizan la redirección de DNS para publicar anuncios y recopilar datos de navegación de los usuarios.
  • Navegar por la web es casi imposible sin DNS, por lo que quien controla el servidor DNS controla quién ve qué en la web. Los ISP controlados por el gobierno en China, por ejemplo, utilizan la manipulación de DNS como parte de su sistema de censura nacional, conocido como el Gran Cortafuegos, para bloquear los sitios web de la vista pública.

 

La suplantación de DNS se produce de dos formas:

  • Alterar el caché de resolución de un servidor de nombres DNS existente, o
  • Crear un servidor de nombres DNS malicioso y difundir malware que hace que los enrutadores y los dispositivos de los usuarios finales lo utilicen

La manipulación de la caché de resolución de DNS de un servidor de nombres puede ser realizada intencionalmente por el administrador, como un ISP que quiere publicar anuncios o censurar contenido, o por un pirata informático.

 

Malware cambiador de DNS

Los piratas informáticos pueden atacar el servidor de nombres en sí o los dispositivos del usuario final. La manipulación de un servidor DNS existente afecta a más personas, pero debido a los altos niveles de seguridad que generalmente protegen los servidores de nombres, es más difícil de lograr.

En cambio, los piratas informáticos a menudo configuran sus propios servidores de nombres DNS maliciosos en lugar de violar uno existente. Luego, utilizan varios métodos para distribuir el malware del cambiador de DNS a los dispositivos de los usuarios finales (computadoras y teléfonos inteligentes) y enrutadores wifi. El malware cambiador de DNS altera de forma encubierta la configuración de Internet de un dispositivo para dirigir las solicitudes de DNS a un servidor de nombres malicioso. Luego, pueden redirigir a las víctimas que soliciten sitios web legítimos a sitios infectados con malware y phishing.

 

Además de los dispositivos de usuario final, los piratas informáticos pueden apuntar a enrutadores wifi con malware cambiador de DNS. Un enrutador puede anular la configuración de DNS especificada en una computadora o teléfono inteligente. Esto es particularmente una amenaza cuando se conecta a puntos de acceso wifi públicos y abiertos.

 

¿Cómo protegerse contra la suplantación de DNS?

Puede ser difícil detectar si su servidor DNS ha sido manipulado o si ha sido infectado con un malware cambiador de DNS. La mayoría de nosotros no verificamos rutinariamente nuestra configuración de DNS, y es posible que solo se hayan envenenado algunas entradas de DNS. Puede encontrar más anuncios o redirecciones involuntarias, pero es posible que no haya ningún síntoma claro.

Dicho esto, aquí hay algunas precauciones que puede y debe tomar para protegerse de la suplantación de DNS:

spofing dns

Siempre verifique HTTPS

Si la suplantación de DNS lo ha llevado a un sitio web malicioso, es probable que se vea idéntico o casi idéntico al sitio original que pretendía visitar. La diferencia es que el impostor no tendrá un certificado SSL válido para el dominio, lo que significa que no verá «https» o un candado cerrado en la barra de URL de su navegador. El candado indica que su conexión al sitio está encriptada y verifica que el propietario del servidor es quien dice ser.

Tenga en cuenta que no todos los sitios web utilizan HTTPS, por lo que este no es un método infalible. Puede instalar la extensión del navegador HTTPS Everywhere para obligar a su navegador a cargar siempre la versión HTTPS de un sitio web cuando esté disponible.

Si se encuentra con un sitio con HTTPS pero está indicado en rojo o tachado, entonces el certificado SSL no es válido y debe abandonar el sitio de inmediato.

 

DNS cifrado

Debido a las debilidades de seguridad bien documentadas en DNS, algunos proveedores han intensificado para proporcionar una seguridad DNS mejorada.

DNSCrypt es quizás el más popular de estos para los usuarios finales. DNSCrypt es una aplicación ligera que cifra el tráfico DNS entre el usuario y un servidor de nombres Open DNS, de la misma forma que SSL cifra el tráfico a sitios web que utilizan HTTPS. Esto evita el espionaje, los ataques de intermediario y, por supuesto, la suplantación de DNS. Deberá configurar su dispositivo para usar un servidor de nombres Open DNS, que es gratuito.

 

VPN

Una VPN, abreviatura de Virtual Private Network, es un servicio que encripta todo el tráfico de Internet que va hacia y desde su dispositivo y lo enruta a través de un servidor intermediario en una ubicación que elija el usuario. Los servicios de VPN de calidad utilizan sus propios servidores DNS privados y todas las solicitudes de DNS se envían a través del túnel cifrado. Esto significa que las solicitudes de DNS no se pueden interceptar ni alterar, y utilizará un servidor de nombres (con suerte) seguro.

Tenga en cuenta que no todas las VPN son iguales. Algunos usan servidores DNS públicos como Google DNS, mientras que otros permiten que las solicitudes de DNS se filtren fuera del túnel encriptado, lo que significa que se usa el servidor de nombres predeterminado. Asegúrese de investigar las especificaciones de su proveedor de VPN con respecto a los servidores DNS y la protección contra fugas de DNS antes de registrarse.

 

Antivirus

Utilice un software antivirus actualizado y mantenga activada la protección en tiempo real. Esto debería evitar que las cargas útiles de malware que contienen malware cambiador de DNS infecten su dispositivo y otros dispositivos, incluidos los enrutadores, en la red.

Busque dentro de nuestra web el Antivirus que más le guste e instálelo en su ordenador.

 

Deshabilitar JavaScript y WebRTC

Las cepas conocidas de malware cambiador de DNS han llegado a los dispositivos de los usuarios finales mediante el uso de JavaScript y WebRTC. JavaScript es un lenguaje de programación que se utiliza en muchas páginas web en la actualidad, por lo que prescindir de él puede resultar demasiado inconveniente para algunos usuarios. Dicho esto, JavaScript se usa a menudo para implementar malware.

WebRTC es un protocolo de comunicaciones utilizado por servicios de Voz sobre Protocolo de Internet (VoIP) basados ​​en navegador como Skype para Chrome. Lo más probable es que no lo necesite, pero está habilitado de forma predeterminada en la mayoría de los navegadores, incluidos Firefox y Chrome. En Chrome, puede deshabilitar WebRTC instalando la extensión WebRTC Network Limiter.

En Firefox, ingrese about: config en la barra de URL. Busque el parámetro media.peerconnection.enabled y establézcalo en false.

Una buena VPN desactivará WebRTC por ti.

spofing de dns

DNSSEC

Para aquellos servidores de nombres operativos, las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) proporcionan una autenticación muy necesaria. Este conjunto de especificaciones garantiza la confianza entre el usuario final y el servidor DNS. Con DNSSEC implementado correctamente, el usuario sabe que las respuestas provienen del propietario del nombre de dominio y no de una entrada de DNS corrupta.

Desafortunadamente, todavía tenemos que lograr una implementación a gran escala. Relativamente pocos dominios y servidores de nombres emplean DNSSEC, y no hay mucho que hacer por parte del usuario final. DNSSEC tampoco cifra los registros DNS.

 

¿Cómo verificar la configuración de DNS?

Si cree que podría haber sido infectado con el malware cambiador de DNS, su primer paso debería ser eliminarlo con un software antivirus o realizando un restablecimiento de fábrica en su dispositivo. Esta última puede ser la única solución para un enrutador, así que prepárate para reconfigurar tu red wifi.

 

Una vez que esté libre de malware, verifique la configuración de DNS. Estos se pueden encontrar en algún lugar de la configuración de Internet. La mayoría de los dispositivos le permiten ingresar dos direcciones de servidor de nombres DNS: primaria y alternativa. Debe asegurarse de que estén en blanco (por defecto los servidores de nombres de su ISP) o que estén completados con direcciones IP para servidores de nombres de confianza. Si no reconoce una de las direcciones del servidor de nombres, elimínela o reemplácela.

 

¿Cómo verificar la configuración de DNS en Windows?

Para este ejemplo, usaremos Windows 10:

  1. Mientras esté conectado a Internet, haga clic con el botón derecho en el icono de wifi o ethernet en la bandeja del sistema (el lado derecho de la barra de tareas) y seleccione Abrir configuración de red e Internet.
  2. Haga clic en Wi-Fi, luego desplácese hacia abajo para seleccionar Cambiar opciones de adaptador.
  3. Busque el adaptador que utiliza, probablemente Wi-FiConexión de red inalámbrica, haga clic con el botón derecho y seleccione Propiedades.
  4. En la ventana de propiedades de la pestaña Redes predeterminadas, busque en Esta conexión utiliza los siguientes elementos:para buscar Protocolo de Internet versión 4 (TCP / IPv4) . Haga clic en él una vez para resaltarlo (no lo desmarque) y haga clic en Propiedades.
  5. Si la configuración de su servidor DNS predeterminado ha cambiado, verá las direcciones del servidor de nombres en Usar la siguiente dirección del servidor DNS. Cámbielos a sus direcciones de servidor de nombres DNS preferidas o seleccione Obtener la dirección del servidor DNS automáticamentepara usar los servidores predeterminados de su ISP.

¿Cómo verificar la configuración de DNS en Mac?

Para este ejemplo, usaremos macOS High Sierra:

  1. Mientras esté conectado a Internet, haga clic en el menú Apple y seleccione Preferencias del sistema.
  2. Ejecute una búsqueda en este menú de servidores DNSy selecciónela de los resultados del menú desplegable.
  3. Aquí verá las direcciones de servidor de nombres que se hayan especificado en el pasado. Si el panel Servidores DNSestá en blanco, entonces está utilizando el servidor de nombres predeterminado de su ISP.
  4. Elimine las direcciones de servidor que no reconozca resaltándolas y haciendo clic en el botón ‘ ’.

 

¿Cómo verificar la configuración de DNS en un enrutador?

Este proceso varía considerablemente según el modelo y el firmware de su enrutador. Empiece por iniciar sesión en la consola de su navegador. Por lo general, puede acceder a esto ingresando 192.168.0.1 o 192.168.1.1 en la barra de URL de su navegador. Necesitará un nombre de usuario y una contraseña para iniciar sesión. Si no los conoce, busque en Google el modelo de su enrutador para obtener la contraseña predeterminada o pregunte a su ISP si la configuró para usted.

Una vez en la consola, busque en la configuración de red una página que contenga los servidores de nombres DNS y cámbielos en consecuencia.

 

Puede que te interese dejar un COMENTARIO:

 

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con  *