¿Qué es un ataque DNS?

Un ataque DNS (Domain Name System) es un método utilizado por los ciberdelincuentes para interrumpir o redirigir el tráfico de un dominio, explotando vulnerabilidades en el sistema DNS, que traduce los nombres de dominio en direcciones IP.

¿Cuáles son los tipos más comunes de ataques DNS?

Entre los tipos más comunes de ataques DNS se encuentran el DNS spoofing (envenenamiento de caché DNS), los ataques de denegación de servicio distribuido (DDoS), el DNS tunneling y el secuestro de DNS (DNS hijacking).

¿Cuáles son los riesgos asociados a un ataque DNS?

Un ataque DNS puede provocar el robo de datos sensibles, la redirección de los usuarios a sitios maliciosos, la interrupción de servicios en línea y la pérdida de confianza de los usuarios.

¿Cómo protegerse contra los ataques DNS?

Para protegerse contra los ataques DNS, se recomienda utilizar servidores DNS seguros, implementar protocolos como DNSSEC, monitorear los registros de DNS y configurar firewalls y herramientas de detección de intrusos.

Volver a Artículos

Ataque DNS: comprende, previene y protégete de manera efectiva

10 Mar
7:30 am
m de lecture

Ciberseguridad

Los ataques DNS pueden perturbar toda la red de una empresa. Son capaces de paralizar su actividad durante varios días y causar pérdidas significativas: indisponibilidad del sitio web y de los servicios cloud de la empresa, infecciones por malware… Al comprender los mecanismos de estos ataques y adoptar medidas de prevención adecuadas, es posible proteger eficazmente su infraestructura.

En octubre de 2016, los sitios de Spotify, Netflix, Twitter y Amazon fueron inaccesibles durante 10 horas en EE. UU. Entre otras grandes firmas afectadas se encontraban The New York Times y Microsoft. Sin embargo, el sistema informático de estas compañías no fue el problema. El atacante solo explotó una falla de seguridad del servidor DNS.

Estos ataques DNS representan un serio talón de Aquiles de la infraestructura relacionada con la Web. En el año 2020, habrían afectado al 83 % de las empresas en territorio francés. ¿Cuál es exactamente la situación?

¿Qué es el DNS?

El DNS o Domain Name System permite establecer la correspondencia entre una dirección de sitio como madonna.com y la dirección IP correspondiente, que es una serie de números separados por puntos.

El lugar donde se realiza la conversión es un servidor DNS. En Francia, los principales servidores DNS de referencia son gestionados por Free, Orange, SFR y Bouygues Telecom. También existen alternativas gratuitas como Google Public DNS, CloudFlare y OpenDNS.

¿Cómo funciona en la práctica? Cuando un usuario escribe «madonna.com» en su navegador, esta expresión se envía a un servidor DNS que la traduce en una IP: 3.33.139.232.

Los pasos son los siguientes:

El resolutor DNS busca la dirección IP en su base de datos o en su cache local. El uso de cache es una técnica comúnmente utilizada en la Web para reducir los tiempos de carga: el cache conserva una copia de las páginas más consultadas y se las proporciona directamente al usuario.
Si el resolutor DNS no encuentra la dirección IP, interroga a otros servidores DNS, en particular, a un servidor DNS de referencia.
Una vez encontrada la dirección IP, el resolutor la comunica al navegador web. También la almacena en su cache local para poderla proporcionar rápidamente a otro usuario que realice la misma petición.

Durante la caída de octubre de 2016 mencionada anteriormente que afectó a sitios como Amazon, Twitter, Netflix y Spotify, fue el ataque operado en los servidores DNS de un actor estadounidense importante, Dyn, el que fue responsable. Se trató de un ataque DDOS, cuyos detalles se explican más abajo.

¿Por qué es frágil el DNS?

El sistema de DNS fue esencialmente diseñado con la facilidad de uso en mente, con el fin de responder con precisión y eficacia a las solicitudes. La seguridad no fue integrada en su diseño. El protocolo DNS se basa en intercambios en claro, lo que puede facilitar la interceptación y falsificación de las solicitudes. Por lo tanto, el DNS se ha convertido en un vector de elección para los ciberataques.

¿Cómo funcionan los ataques DNS?

Los ataques DNS explotan las vulnerabilidades del sistema de nombre de dominio (DNS). La mayoría de las veces, el actor malicioso intercepta una solicitud DNS y envía una respuesta falsa antes de que el servidor DNS legítimo tenga tiempo de responder.

Los principales tipos de ataques DNS

Ataque de envenenamiento de cache DNS

Esta técnica busca redirigir a los usuarios hacia una plataforma web falsa. La falla explotada aquí es el cache DNS. Se inyectan direcciones IP incorrectas en él y esto puede ser suficiente para afectar a decenas de miles de usuarios.

El visitante escribe una dirección, por ejemplo, la de un sitio de comercio electrónico en línea y es redirigido hacia un sitio fraudulento. Su identificador y su contraseña pueden ser así desviados.

Ataque DDoS por amplificación

Los ataques de este tipo se dirigen principalmente a sitios web de muy alta audiencia como los de Sony o Microsoft. Un ataque por denegación de servicio distribuido o DDoS busca dejar un servicio en línea fuera de servicio al inundarlo de tráfico proveniente de múltiples fuentes. Uno de los ataques DDoS más impresionantes de todos los tiempos ocurrió cuando Cloudflare recibió 26 millones de solicitudes por segundo en 2022.

En un ataque DDoS por amplificación, el atacante explota servidores abiertos para amplificar el volumen del tráfico dirigido a la víctima y saturarla. El atacante, a través de un botnet, incita a una red de computadoras infectadas a enviar miles de demandas, lo que puede provocar una caída del sistema.

Secuestro de DNS

Los registros DNS son manipulados para redirigir solicitudes DNS hacia otros destinos. Entre los métodos implementados se encuentran la compromisión de los servidores DNS o el ataque del hombre en el medio – el hacker intercepta y modifica las solicitudes DNS.

Inundación TCP SYN

Es otro tipo de ataque por denegación de servicio: el atacante envía una sucesión muy rápida de solicitudes SYN (un mensaje utilizado en el protocolo TCP para establecer una conexión entre dos computadoras) con el objetivo de saturar el servidor y dejarlo incapaz de responder al tráfico legítimo.

Ataque por generación de dominio (Domain Generation Algorithm - DGA)

El atacante genera numerosos nombres de dominio aleatorios para escapar a la detección y facilitar la propagación de malware.

Ataque de cobertura

El atacante manipula el DNS para crear una distracción y así desviar la atención de los sistemas de seguridad. El objetivo es poder llevar a cabo otro ataque mucho más perjudicial inmediatamente después.

¿Cómo prevenir los ataques DNS?

Implementar DNSSEC

DNSSEC (Domain Name System Security Extensions) es una extensión que añade una capa de autenticación e integridad a las respuestas DNS. Utiliza firmas digitales para autenticar los datos DNS.

Registro de actividades

Al llevar a cabo un registro de las solicitudes dirigidas a los servidores DNS, es posible detectar anomalías y realizar un análisis en profundidad.

Restricción de acceso

Limitando el uso de los resolutores DNS a una serie de usuarios identificados como válidos, se puede prevenir un envenenamiento de cache.

Respaldo de datos DNS

Copias almacenadas en otros servidores ayudarán a reemplazar fácilmente los datos de un servidor DNS comprometido.

Desplegar una protección DNS dedicada

Contratar un servicio de seguridad DNS con un proveedor externo a menudo es recomendable.

¿No está disponible?

Déjenos su dirección de correo electrónico para que podamos enviarle los nuevos artículos cuando se publiquen.

JPO : Webinar d'information sur nos formations → RDV mardi à 17h30.

Data Scientist

Data Analyst

Data Engineer