Una Introducci\u00f3n al Sistema de Nombres de Dominio (DNS)<\/h2>\n
Antes de entrar en los detalles del envenenamiento del DNS, hablemos del Sistema de Nombres de Dominio<\/a>. Aunque navegar por un sitio web parece una tarea sencilla, hay muchas cosas que suceden bajo el cap\u00f3 del servidor.<\/p>\n Hay muchos elementos que intervienen para ir de \u00abA\u00bb a \u00abB\u00bb:<\/p>\n En general, un DNS hace que la b\u00fasqueda de un nombre de dominio sea sencilla para el usuario final. Es una parte fundamental de la web y, como tal, tiene muchas partes m\u00f3viles.<\/p>\n A continuaci\u00f3n veremos el proceso de b\u00fasqueda propiamente dicho, aunque ya puedes ver c\u00f3mo el DNS tiene una labor vital que cumplir.<\/p>\n\n S\u00e9 paciente mientras ofrecemos lo que parece una analog\u00eda abstracta.<\/p>\n Las actividades que llevan a las personas a lugares remotos, como el monta\u00f1ismo o la navegaci\u00f3n, comparten un peligro espec\u00edfico: perderse y no ser encontrado a tiempo. La forma tradicional de localizar a las personas extraviadas ha sido el uso de coordenadas. Son expl\u00edcitas y ofrecen una precisi\u00f3n milim\u00e9trica.<\/p>\n Sin embargo, este proceso tiene inconvenientes. En primer lugar, tienes que saber calcular las coordenadas de cualquier lugar, lo que resulta complicado si se trata de una parte remota del mundo. En segundo lugar, hay que articular esas coordenadas al equipo de rescate. Un n\u00famero equivocado y las consecuencias son nefastas.<\/p>\n La aplicaci\u00f3n what3words<\/a> convierte el complejo proceso de c\u00e1lculo y transmisi\u00f3n de coordenadas en un resumen de tres palabras sobre tu ubicaci\u00f3n general. Por ejemplo, sede de Automattic<\/a>:<\/p>\n Las coordenadas del lugar son 37.744159, -122.421555<\/strong>. Sin embargo, a menos que seas un experto navegante, no es probable que sepas esto. Incluso si lo supieras, conseguir que esto llegue a manos de alguien que pueda ayudarte es una propuesta escasa.<\/p>\n En pocas palabras, what3words toma un conjunto abstracto de coordenadas y lo traduce en tres palabras memorables. En el caso de las oficinas de Automattic, se trata de decent.transfers.sleeps<\/strong>:<\/p>\n Esto pone el complejo posicionamiento global en manos de casi cualquier persona con acceso a la aplicaci\u00f3n. Ya ha salvado muchas vidas de civiles<\/a>.<\/p>\n Esto se relaciona con una b\u00fasqueda de DNS porque el proceso es similar. En el caso de what3words, el rescatador pide a la aplicaci\u00f3n las coordenadas de una cadena de palabras. La solicitud se env\u00eda a trav\u00e9s de los servidores para buscar las coordenadas y volver al usuario final cuando se encuentran.<\/p>\n Una b\u00fasqueda de DNS tiene un flujo similar<\/a>:<\/p>\n Uno de los inconvenientes de what3words es que una cadena de palabras no es tan precisa como un conjunto de coordenadas. Esto significa que puedes localizar una ubicaci\u00f3n general r\u00e1pidamente, pero puedes tardar m\u00e1s en encontrar a la persona varada.<\/p>\n Una b\u00fasqueda de DNS tambi\u00e9n tiene inconvenientes, y los atacantes maliciosos pueden explotarlos. Sin embargo, antes de ver esto, vamos a hacer un breve desv\u00edo para hablar sobre el almacenamiento en cach\u00e9 y c\u00f3mo esto puede acelerar una b\u00fasqueda.<\/p>\n Al igual que el almacenamiento en cach\u00e9 de la web, el almacenamiento en cach\u00e9 del DNS puede ayudarte a recordar las consultas regulares al servidor. Esto har\u00e1 que el proceso de obtenci\u00f3n de una direcci\u00f3n IP sea m\u00e1s r\u00e1pido en cada nueva visita.<\/p>\n En resumen, la cach\u00e9 se encuentra dentro del sistema del servidor DNS y evita el viaje extra al servidor recursivo. Esto significa que un navegador puede obtener una direcci\u00f3n IP directamente del servidor DNS y completar la solicitud GET <\/strong>en un tiempo m\u00e1s r\u00e1pido.<\/p>\n Encontrar\u00e1s cach\u00e9s de DNS en todo tu sistema. Por ejemplo, tu ordenador tendr\u00e1 una cach\u00e9 de DNS, al igual que tu router y tu proveedor de servicios de Internet (ISP). A menudo no te das cuenta de lo mucho que tu experiencia de navegaci\u00f3n depende de la cach\u00e9 de DNS, hasta que eres v\u00edctima de un envenenamiento de DNS, es decir.<\/p>\n Ahora que entiendes el concepto de b\u00fasqueda de DNS y todo el proceso de obtenci\u00f3n de una direcci\u00f3n IP, podemos ver c\u00f3mo se puede explotar.<\/p>\n A menudo ver\u00e1s que el envenenamiento de DNS tambi\u00e9n se denomina \u00abspoofing\u00bb porque tener un sitio web fraudulento \u00abparecido\u00bb en la cadena es parte del ataque.<\/p>\n Vamos a hablar con m\u00e1s detalle de todos estos aspectos, pero debes saber que el envenenamiento de DNS o spoofing es un ataque da\u00f1ino que puede causar problemas mentales, monetarios y de recursos a los usuarios y a Internet.<\/p>\n Sin embargo, primero vamos a entrar en el proceso de envenenamiento de la cach\u00e9.<\/p>\n Dado que todo el proceso de suplantaci\u00f3n de identidad es complejo, los atacantes han creado muchas formas diferentes de lograr su objetivo:<\/p>\n Un ataque de cumplea\u00f1os se basa en el \u00abproblema del cumplea\u00f1os<\/a>\u00ab. Se trata de una hip\u00f3tesis de probabilidad que dice (en pocas palabras) que si hay 23 personas en una habitaci\u00f3n, hay un 50% de posibilidades de que dos compartan el mismo cumplea\u00f1os. Si hay m\u00e1s personas en la habitaci\u00f3n, las probabilidades aumentan.<\/p>\n Esto se traduce en un envenenamiento del DNS basado en el identificador que conecta la solicitud de b\u00fasqueda del DNS con la respuesta GET<\/strong>. Si el atacante env\u00eda un cierto n\u00famero de peticiones y respuestas aleatorias, hay una alta probabilidad de que una coincidencia resulte en un intento de envenenamiento exitoso. A partir de unas 450 peticiones, la probabilidad es de aproximadamente el 75%, y a partir de 700 peticiones, un atacante tiene casi garantizado el envenenamiento del servidor.<\/p>\n En resumen, los ataques al servidor DNS se producen en la mayor\u00eda de los casos porque esto da a un usuario malicioso una mayor flexibilidad para manipular tu sitio y los datos de los usuarios. Tampoco hay verificaci\u00f3n para los datos DNS porque las peticiones y respuestas no utilizan el Protocolo de Control de Transmisi\u00f3n (TCP)<\/a>.<\/p>\n El punto d\u00e9bil de la cadena es la cach\u00e9 DNS, ya que esta act\u00faa como repositorio de entradas DNS. Si un atacante puede inyectar entradas falsificadas en la cach\u00e9, cada usuario que acceda a ella se encontrar\u00e1 en un sitio fraudulento hasta que la cach\u00e9 expire.<\/p>\n Los atacantes suelen buscar algunas se\u00f1ales, puntos d\u00e9biles y puntos de datos para atacar. Trabajan para detectar las consultas DNS que a\u00fan no han sido almacenadas en la cach\u00e9 porque el servidor recursivo tendr\u00e1 que realizar la consulta en alg\u00fan momento. Por extensi\u00f3n, un atacante tambi\u00e9n buscar\u00e1 el servidor de nombres al que ir\u00e1 una consulta. Una vez que tienen esto, el puerto que utiliza el resolutor y el n\u00famero de identificaci\u00f3n de la solicitud son vitales.<\/p>\n Aunque no es necesario cumplir todos estos requisitos -despu\u00e9s de todo, un atacante puede acceder a los servidores a trav\u00e9s de numerosos m\u00e9todos-, marcar estas casillas facilita su trabajo.<\/p>\n A lo largo de los a\u00f1os ha habido algunos ejemplos de alto perfil de envenenamiento de DNS. En algunos casos, se trata de un acto intencionado. Por ejemplo, China opera un cortafuegos a gran escala (el llamado \u00abGran Cortafuegos de China\u00bb) para controlar la informaci\u00f3n que reciben los usuarios de Internet.<\/p>\n En pocas palabras, envenenan sus propios servidores redirigiendo a los visitantes que se dirigen a sitios no autorizados por el Estado, como Twitter y Facebook. En un caso<\/a>, las restricciones chinas llegaron incluso al ecosistema del mundo occidental.<\/p>\n Un error de red de un ISP sueco sirvi\u00f3 informaci\u00f3n de DNS ra\u00edz de servidores chinos. Esto significaba que los usuarios de Chile y Estados Unidos eran redirigidos a otro lugar cuando acced\u00edan a algunos sitios de redes sociales.<\/p>\n En otro ejemplo<\/a>, piratas inform\u00e1ticos de Bangladesh que protestaban por el maltrato en Malasia envenenaron muchos dominios relacionados con Microsoft, Google, YouTube y otros sitios de alto perfil. Este parece haber sido un caso de secuestro del servidor m\u00e1s que un problema del lado del cliente o de spam.<\/p>\n Ni siquiera WikiLeaks es inmune a los ataques de envenenamiento de DNS. Un posible secuestro del servidor<\/a> hace unos a\u00f1os hizo que los visitantes del sitio web fueran redirigidos a una p\u00e1gina dedicada a los hackers.<\/p>\n El envenenamiento de DNS no tiene por qu\u00e9 ser un proceso complicado. Los llamados \u00abhackers \u00e9ticos\u00bb -es decir, aquellos que buscan exponer los fallos de seguridad en lugar de infligir da\u00f1os- tienen m\u00e9todos sencillos<\/a> para probar la suplantaci\u00f3n de identidad en sus propios ordenadores.<\/p>\n Sin embargo, aparte de ser redirigido, puede parecer que no hay efectos a largo plazo del envenenamiento de DNS en la superficie. De hecho, los hay, y hablaremos de ellos a continuaci\u00f3n.<\/p>\n Hay tres objetivos principales de un atacante que espera realizar un envenenamiento de DNS en un servidor:<\/p>\n Por supuesto, no hace falta dar un salto en la imaginaci\u00f3n para entender por qu\u00e9 el envenenamiento de DNS o la suplantaci\u00f3n de identidad es un problema para los ISP, los operadores de servidores y los usuarios finales.<\/p>\n Como hemos se\u00f1alado, la suplantaci\u00f3n de identidad es un gran problema para los ISP, hasta el punto de que existen herramientas como CAIDA Spoofer<\/a> para ayudar.<\/p>\n Hace unos a\u00f1os, las estad\u00edsticas mostraban<\/a> que hab\u00eda unos 30.000 ataques diarios. Esta cifra habr\u00e1 aumentado con toda seguridad desde la publicaci\u00f3n del informe. Adem\u00e1s, como en el caso del ejemplo de la secci\u00f3n anterior, la distribuci\u00f3n de sitios falsos a trav\u00e9s de una red plantea problemas de confianza a los usuarios, as\u00ed como problemas de privacidad.<\/p>\n Independientemente de qui\u00e9n seas, existen algunos riesgos cuando eres v\u00edctima de envenenamiento y suplantaci\u00f3n de identidad:<\/p>\n Tambi\u00e9n hay otros efectos relacionados con el envenenamiento del DNS. Por ejemplo, es posible que no puedas aplicar ninguna actualizaci\u00f3n de seguridad a tu sistema mientras el proceso de recuperaci\u00f3n est\u00e1 en pleno desarrollo. Esto deja a tu ordenador vulnerable durante m\u00e1s tiempo.<\/p>\n Tambi\u00e9n hay que tener en cuenta el coste y la complejidad de este proceso de limpieza, ya que afectar\u00e1 a todos los integrantes de la cadena. El aumento de los precios de todos los servicios conectados es solo uno de los aspectos negativos.<\/p>\n El esfuerzo de eliminar el envenenamiento del DNS es inmenso. Dado que el spoofing afecta tanto a las configuraciones del lado del cliente como del lado del servidor, librarlo de uno no significa que haya desaparecido de todos.<\/p>\n Hay dos \u00e1reas afectadas por el envenenamiento de DNS: del lado del cliente y del lado del servidor. Vamos a echar un vistazo a lo que puedes hacer para prevenir este ataque perjudicial en ambos lados de la moneda.<\/p>\n Empecemos por lo que hace Internet en su conjunto en el lado del servidor.<\/p>\n Aunque hemos hablado mucho sobre el DNS a lo largo de este art\u00edculo, no hemos se\u00f1alado lo anticuada que es esta tecnolog\u00eda. En resumen, el DNS no es el m\u00e1s adecuado para una experiencia de navegaci\u00f3n web moderna debido a unos cuantos factores. Para empezar, no est\u00e1 encriptado, y sin algunas consideraciones vitales de validaci\u00f3n, eso impedir\u00eda que muchos ataques de envenenamiento de DNS continuaran.<\/p>\n Una forma r\u00e1pida de evitar que los ataques se hagan m\u00e1s fuertes es mediante una simple estrategia de registro<\/a>. Esto lleva a cabo una comparaci\u00f3n directa entre la solicitud y la respuesta para ver si coinciden.<\/p>\n Sin embargo, la respuesta a largo plazo (seg\u00fan los expertos) es el uso de las extensiones de seguridad del sistema de nombres de dominio (DNSSEC)<\/a>. Se trata de una tecnolog\u00eda dise\u00f1ada para combatir el envenenamiento del DNS y, en t\u00e9rminos sencillos, pone en marcha diferentes niveles de verificaci\u00f3n.<\/p>\n En profundidad, DNSSEC utiliza la \u00abcriptograf\u00eda de clave p\u00fablica\u00bb como verificaci\u00f3n. Se trata de una forma de certificar que los datos son aut\u00e9nticos y fiables. Se almacena junto con el resto de la informaci\u00f3n del DNS y el servidor recursivo la utiliza para comprobar que ninguna de las informaciones que recibe ha sido alterada.<\/p>\n Comparado con otros protocolos y tecnolog\u00edas de Internet, el DNSSEC es un beb\u00e9, pero est\u00e1 lo suficientemente maduro como para que se implemente en el nivel ra\u00edz del Internet, aunque todav\u00eda no es la corriente principal. El DNS p\u00fablico de Google<\/a> es uno de los servicios que soporta DNSSEC en su totalidad, y cada vez aparecen m\u00e1s.<\/p>\n Aun as\u00ed, hay algunos inconvenientes con DNSSEC que vale la pena se\u00f1alar:<\/p>\n Aun as\u00ed, DNSSEC es el futuro en el lado del servidor, en todo caso. En cuanto a ti, como usuario final, tambi\u00e9n hay algunas medidas preventivas que puedes tomar.<\/p>\n Hay m\u00e1s formas de prevenir el envenenamiento de DNS en el lado del cliente, aunque ninguna por s\u00ed sola ser\u00e1 tan robusta como la DNSSEC del lado del servidor implementada por un experto. Aun as\u00ed, hay algunas casillas sencillas que puedes marcar como propietario de un sitio:<\/p>\n Como usuario final, hay algunas cosas m\u00e1s que puedes hacer para ayudar a prevenir el envenenamiento y la suplantaci\u00f3n de identidad:<\/p>\n Aunque no te puedes librar del envenenamiento del DNS en su totalidad, puedes evitar que ocurra lo peor. Como usuario final, no tienes mucho control sobre c\u00f3mo el servidor maneja los ataques. Del mismo modo, los administradores de sistemas no pueden controlar lo que ocurre en el navegador. Por lo tanto, es un esfuerzo de equipo para evitar que este ataque tan da\u00f1ino afecte a toda la cadena.<\/p>\n\n Los ataques en Internet son habituales. El envenenamiento de DNS (o spoofing) es un ataque com\u00fan que puede afectar a millones de usuarios si no se controla. Esto se debe a que el protocolo DNS es antiguo y no est\u00e1 adaptado a la navegaci\u00f3n web moderna, aunque hay nuevas tecnolog\u00edas en el horizonte.<\/p>\n\n
El Proceso de B\u00fasqueda de DNS<\/h2>\n
![\"Las](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2021\/07\/automattic-map.png\")
![\"El](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2021\/07\/what3words.png\")
\n
Almacenamiento en Cach\u00e9 de DNS<\/h3>\n
Qu\u00e9 es el Envenenamiento por DNS<\/h2>\n
C\u00f3mo Funciona el DNS Spoofing y el Cache Poisoning<\/h3>\n
\n
![\"Un](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2021\/07\/birthday-paradox.png\")
Ejemplos Reales de Envenenamiento del DNS<\/h3>\n
Por Qu\u00e9 el Envenenamiento de DNS y la Suplantaci\u00f3n de Identidad son tan Perjudiciales<\/h3>\n
\n
![\"El](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2021\/07\/spoofer-tool.png\")
\n
C\u00f3mo Prevenir el Envenenamiento por DNS<\/h2>\n
C\u00f3mo Internet Trata de Evitar el Envenenamiento del DNS y la Suplantaci\u00f3n de Identidad del Lado del Servidor<\/h4>\n
\n
C\u00f3mo Prevenir el Envenenamiento de DNS en el Lado del Cliente<\/h3>\n
\n
\n
Resumen<\/h2>\n