¿Qué es la falsificación de DNS y el envenenamiento de caché?

En abril de 2022, un grupo de piratas informáticos se dirigieron a los clientes de ocho bancos de Malasia instándolos a descargar aplicaciones de índole malicioso, una vez que estos hicieron las descargas, un malware robo las credenciales de los usuarios y reenviaron los mensajes a los que dirigían la estafa. A los actores maliciosos les encanta la ingeniería social al punto de llevar a cabo estafas a través de anuncios de Facebook.

Este es solo uno de los delitos cibernéticos reportados en el 2022, y la lista es larga, acorde a la revista Cybercrime, el total de pérdidas entre múltiples víctimas contabiliza al menos unos $6 billones de dólares gracias a las actividades maliciosas y fraudulentas que se llevaron a cabo en el 2021.

Son este tipo de estadísticas las que hacen que sea imprescindible conocer los diversos tipos de ataques de suplantación de identidad y las mejores formas de prevenirlos.

Sin embargo, en este artículo nos centraremos en la falsificación de DNS y el envenenamiento de caché, ya que estas acciones a menudo provocan problemas de seguridad más graves; el principal peligro de estos eventos es que no son visibles a simple vista para un usuario desprevenido. Para darle mejor contexto a nuestro análisis vamos a establecer qué es un Sistema de Nombres de Dominio (DNS).

¿Qué es un DNS?

Los sistemas de nombres de dominio (DNS) funcionan como una guía telefónica de acceso rápido, si por ejemplo quieres llamar a un amigo, lo haces gracias a los datos de contacto guardados en tu teléfono; de esta manera, no tienes que memorizar el número de todos.

De una forma similar, Internet utiliza un directorio llamado DNS, el cual está presente en todas las computadoras (incluidos sus teléfonos móviles y tabletas) las cuales están asociadas a un número exclusivo llamado dirección IP, el cual vincula el dispositivo con un nombre de dominio.

Por lo tanto, cada vez que quieras visitar un sitio web, no es necesario ingresar la dirección IP, solo necesitas ingresar el nombre de dominio; por ejemplo, amazon.com. Un DNS es lo que convierte el nombre de dominio simple en la dirección IP para que los dispositivos asuman esta configuración y accedan a la página.

El DNS también contiene otra información, tales como los registros SPF y DKIM.

¿Qué es una búsqueda de DNS?

La búsqueda de DNS se refiere a verificar el registro este cuando se retorna del servidor que solicita el destino, el mecanismo bajo el cual funciona este proceso es como revisar la guía telefónica para saber quién nos está llamando; este mecanismo traduce las direcciones de correo electrónico y los nombres de dominio en números (o direcciones IP).

¿Qué es la falsificación de DNS?

La suplantación de DNS es un tipo de ciberataque común en el que un pirata informático usa registros DNS modificados para dirigir el tráfico a un sitio web falsificado, lo cual se hace para obtener información personal o engañar al objetivo para que este realice pagos que llegan directo a las cuentas del estafador.

En ocasiones un DNS falso le solicita a su objetivo que inicie sesión en una cuenta falsa (que la víctima percibe como real) para robar sus credenciales y causar daño, en la mayoría de los casos de suplantación de DNS, los sitios web maliciosos instalan virus en tu dispositivo para obtener datos durante extensos periodos de tiempo.

Pasos de ataque

¿Cómo funciona la suplantación de DNS? Te presentamos un desglose rápido:

  • Reconocimiento: los piratas informáticos aprenden todo lo que necesitan sobre el entorno de la víctima a través de los datos del DNS disponibles públicamente; este ejercicio no es a corto plazo, ya que necesita planificación y preparación para una estafa mayor, por lo tanto, estos se dedican a obtener de forma encubierta información del objetivo para lanzar la falsificación de DNS.
  • Acceso: los atacantes abusan del acceso libre para buscar y encontrar entradas no autorizadas en la zona DNS, dado que los servidores autorizados crean nuevos registros DNS a medida que aceptan actualizaciones dinámicas.
  • Ataque: el objetivo es provocar ataques de negación de servicio (DoS) o Man-in-the-Middle, que inundan el servidor hasta el punto que el sistema se apaga por completo; son estas indicaciones las que te ayudan a saber cómo detectar la suplantación del DNS.

Suplantación de DNS frente al envenenamiento de caché en el DNS

Los términos “suplantación de identidad de DNS” y “envenenamiento de caché de DNS” se usan de forma indistinta; sin embargo, hay una diferencia entre ambos. En términos generales, el envenenamiento de caché de DNS es una forma de iniciar un ataque de suplantación de DNS.

Hay varias formas de llevar a cabo este ataque en línea, tal como comprometer el servidor DNS, montar el envenenamiento de caché de DNS, usar técnicas de intermediario, adivinar el número de secuencia, etc.

Mientras que, en el método de envenenamiento de caché de DNS, el atacante falsifica un DNS y lo inyecta en los registros para obtener, abusar, desviar o modificar la información entrante y saliente de este.

¿Por qué es peligrosa la falsificación de DNS?

La suplantación de DNS presenta diversos riesgos, ya que tu DNS contiene información crucial sobre el dominio de tu empresa; este puede abrir una vulnerabilidad masiva que traiga como resultado cualquier evento negativo, desde ataques de intermediarios hasta infecciones de malware. A continuación, vamos a analizar algunos de los problemas potenciales del envenenamiento de caché de DNS.

Infección de malware

Este es uno de los riesgos más comunes de un ataque de suplantación de DNS ya que la víctima es dirigida a un sitio web malicioso con enlaces descargables que están infectados de virus.

Según el Informe global de amenazas para DNS de EfficientIP, en el año 2020 cerca del 79 % de las empresas encuestadas fueron víctimas de ataques de DNS, lo cual pone el promedio de pérdidas de cada empresa cerca de los $924,000 solo a manos de los piratas informáticos.

Pérdida de datos

Los atacantes que emplean suplantación de DNS tienen como objetivo robar datos bancarios y de empresas de telecomunicaciones, ya que se les facilita comprometer los datos personales y profesionales de los clientes de dichas organizaciones.

Actualizaciones obstaculizadas

La suplantación de DNS también dificulta las actualizaciones de seguridad si el sitio web falsificado incluye proveedores de servicios de Internet, esto significa que tu sistema no está protegido contra virus en evolución y ataques phishing.

Censura gubernamental

A veces, el gobierno de un país censura algunos sitios web, estas prohibiciones se relacionan con pornografía o contenido político; una gran cantidad de países autoritarios tienen listas enormes de contenido a censurar, incluyendo todo lo relacionado con derechos de la mujer, política, religión y los sitios de redes sociales.

¿Cómo prevenir la falsificación de DNS?

Ya hemos discutido lo qué es un ataque de suplantación de DNS, ahora descubramos las formas de prevenirlo.

Hasta 4,290 millones de personas usan la Internet para fines diversos, lo que aumenta la exposición a los piratas informáticos, por lo que en esta sección hablaremos sobre cómo prevenir la suplantación de DNS:

Usa herramientas de detección

La capacidad humana es limitada a la hora de ver las solicitudes de DNS, por lo que la detección de suplantación de DNS es algo que debe dejarse en manos de herramientas apropiadas para escanear todos los paquetes de datos entrantes y salientes.

Usa extensiones de seguridad para DNS (DNSSEC)

Otra forma factible de evitar el envenenamiento de la caché de DNS es implementar protocolos DNSSEC que funciona como una firma encriptada única guardada junto con otros registros DNS.

Configura encriptación de extremo a extremo

La configuración de un protocolo de encriptado de extremo a extremo impide que el atacante haga copias del certificado de seguridad que pertenece al sitio web original; te recomendamos leer acerca de las formas de reconocer la suplantación de identidad por correo electrónico para comprenderlo mejor.

Escanea tus dispositivos en busca de malware

El software de detección de malware te ayuda a lidiar con virus, spyware y otros programas ocultos que permiten el envenenamiento de caché; este tipo de programa se hace necesario ya que el envenenamiento podría falsificar los resultados de cualquier búsqueda en línea.

No visite sitios sospechosos, incluso a través de URLs

No hagas clic en enlaces que no reconozcas o sobre los tengas sospechas, ten cuidado con los enlaces e íconos con hipervínculos en las redes sociales, correos y mensajes de texto, ya que estos son las puertas de entrada al envenenamiento de la caché de DNS; te recomendamos escribir manualmente las URL en la barra de búsqueda.

Usa un VPN

Una red privada virtual (VPN) funciona como un túnel encriptado que salvaguarda tu privacidad, especialmente en una red desconocida; cuando navegas con un VPN evitas todo tipo de suplantación de identidad; te lo recomendamos ampliamente si usas redes Wi-Fi con frecuencia.

Vacía tu DNS

Vaciar la caché del DNS evita los ataques de envenenamiento ya que te deshaces de los datos infectados; solo tienes que activar la opción “Ejecutar” de Windows y escribir “ipconfig /flushdns” para evitar la suplantación de DNS.

Deshacerse del envenenamiento de caché de DNS es difícil

Determinar si las respuestas de DNS son falsas o genuinas es una tarea compleja, ya que las herramientas de monitoreo adecuadas para los DNS son esenciales para la detección de cualquier anomalía; también es necesario emplear muchas de las medidas preventivas que hemos compartido para mantenerte seguro en la Internet.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico más...

Read More
Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Todo el mundo está de acuerdo en que el correo electrónico se ha convertido...

Read More
Siete ejemplos de ataques de Spear Phishing

Siete ejemplos de ataques de Spear Phishing

El año 2022 aún no ha terminado, pero ya se han reportado más de...

Read More