¿Qué es un ataque de secuestro de DNS y cómo prevenirlo?

El DNS(DNS) es importante para resolver las URL(URLs) que ingresa en la barra de direcciones de su navegador. Se dedica mucho trabajo a la resolución de nombres de dominio(Domain Name Resolution) . Es una especie de operación recursiva que ayuda a su navegador a obtener la dirección IP del sitio web al que intenta acceder. Si está interesado, puede leer más sobre búsqueda de DNS y servidores(DNS Lookup and Servers) .

El término Caché DNS(DNS Cache) se refiere al caché local que contiene las direcciones IP resueltas de los sitios web que frecuenta. La idea de DNS Cache es ahorrar tiempo que, de otro modo, se gastaría en comunicarse con los servidores DNS que iniciarían un conjunto de operaciones recursivas para averiguar la dirección IP real de la URL a la que necesita llegar. Pero los ciberdelincuentes pueden envenenar este caché simplemente cambiando las entradas en su caché de DNS a direcciones IP falsas para los sitios web que utiliza.

secuestro de dns

¿Qué es el secuestro de DNS?

Como sugiere el nombre, el secuestro o redirección de (Redirection)DNS(DNS Hijacking) es un método utilizado por los ciberdelincuentes para secuestrar el intento de su navegador de resolver la dirección IP del sitio web que desea cargar. Para facilitar su uso, las URL(URLs) que utilizamos están en formato de texto. Para cada URL , hay una dirección IP y se realizan un conjunto de operaciones para convertir la URL de texto en una dirección IP numérica. Dado que hay muchas operaciones involucradas en la resolución de la dirección IP, los ciberdelincuentes pueden aprovechar la demora y enviar a su computadora una dirección IP falsa que les pertenece.

El método más común para el secuestro de DNS(common method for DNS Hijacking) es instalar malware en su computadora que cambia el DNS para que cada vez que su navegador intente resolver una URL , se comunique con uno de los servidores (URL)DNS falsos en lugar de los servidores DNS reales que utiliza la ICANN (autoridad de Internet que se encarga de registrar dominios, administrarlos, proporcionarles direcciones IP, mantener las direcciones de contacto y más). Los servidores DNS(DNS) directos con los que su computadora contacta son los servidores DNS operados por su proveedor de servicios de Internet:(Internet Service Provider –)a menos que los haya cambiado a otra cosa. Cuando se compra una conexión a Internet, los servidores DNS en uso son del ISP, reconocido por la ICANN .

El malware en su computadora cambia el DNS predeterminado en el que confía su computadora para que apunte a otra dirección IP. De esa manera, cuando su navegador intente resolver una dirección IP, su computadora se comunica con un servidor DNS falso que le da la dirección IP incorrecta. Esto da como resultado que su navegador cargue un sitio web malicioso que puede comprometer su computadora o robar sus credenciales, etc.

Secuestro de DNS(DNS Hijacking) frente a envenenamiento de caché de DNS(DNS Cache)

Aunque ambos ocurren a nivel local, sus orígenes provienen de servidores DNS falsos . Mientras que el secuestro de DNS implica malware(DNS hijacking involves malware) , el envenenamiento de caché de DNS implica sobrescribir su caché de DNS local con valores falsos(DNS Cache poisoning involves overwriting your local DNS cache with fake values) que redirigen su navegador a sitios web maliciosos. El envenenamiento o falsificación de caché de DNS(DNS Cache Poisoning or Spoofing) involucra técnicas como el bombardeo de direcciones IP falsas que su computadora capta mientras los servidores DNS genuinos todavía están ocupados resolviendo la URL . Es decir, en el tiempo que tardan los servidores DNS(DNS) genuinos en resolver una URL , los ciberdelincuentes envían muchas respuestas que equiparan la URL con direcciones IP falsas.

Por ejemplo, escribe thewindowsclub.com en su navegador. En el momento en que un servidor DNS(DNS) genuino busca las direcciones, su computadora recibe más de una resolución de que el sitio se encuentra en la dirección IP XYZ(XYZ IP) . Esto hará que su computadora crea que el sitio está en XYZ a pesar de que el servidor DNS genuino envía la dirección IP genuina porque los servidores DNS de los ciberdelincuentes enviaron muchas respuestas que contenían una IP falsa para thewindowsclub.com .

Esta diferencia en el tiempo es utilizada de manera efectiva por los ciberdelincuentes que tienen muchos servidores DNS falsos para que su computadora anote direcciones IP incorrectas y maliciosas en el caché. Por lo tanto, una de las diez resoluciones DNS falsas enviadas por los servidores (DNS)DNS de los(’ DNS) ciberdelincuentes tiene prioridad sobre una resolución DNS genuina enviada por los servidores DNS genuinos . Otros métodos de envenenamiento y prevención de caché de DNS(DNS Cache Poisoning) se enumeran en el enlace proporcionado anteriormente.

Aunque el envenenamiento de caché(DNS Cache Poisoning) de DNS y el secuestro(DNS Hijacking) de DNS se usan indistintamente, hay una pequeña diferencia entre ellos. El método de envenenamiento de caché DNS(DNS Cache Poisoning) no implica inyectar malware en su sistema informático, sino que se basa en diferentes métodos, como el explicado anteriormente, donde los servidores DNS falsos envían una resolución de URL más rápido que el servidor (URL)DNS genuino y, por lo tanto, el caché está envenenado. Una vez que el caché está envenenado, cuando usa un sitio web infectado, su computadora está comprometida. En el caso de DNS Hijacking , ya estás infectado. Un malware cambia su DNS predeterminado(DNS)proveedor de servicios a algo que los ciberdelincuentes quieren. Y a partir de ahí, controlan sus resoluciones de URL (búsquedas de (URL)DNS ), y luego siguen envenenando su caché de DNS .

Cómo prevenir el secuestro de DNS

Ya hemos discutido cómo prevenir el envenenamiento de DNS(prevent DNS poisoning) . Para detener o prevenir el secuestro de DNS(DNS Hijacking) , se recomienda que utilice un buen software de seguridad(good security software) que mantenga alejado el malware, como los cambiadores de DNS . Usando un buen Firewall . Aunque lo mejor es un cortafuegos basado en hardware, si no lo tiene, puede activar al menos el cortafuegos de su enrutador.

Si cree que ya está infectado, es mejor eliminar el contenido del archivo HOSTS(HOSTS file)  y restablecer el archivo Hosts(reset the Hosts File) . Después de hacer esto, continúe y use un antimalware que lo ayude a deshacerse de los Cambiadores de DNS .

Compruebe si algún cambiador de DNS ha cambiado su DNS . Si es así, debe cambiar la configuración de DNS(change your DNS settings) . Puedes comprobarlo automáticamente. Alternativamente, puede verificar el DNS manualmente. Comience por verificar el DNS mencionado en el enrutador(Router) y luego en computadoras individuales en su red. Recomendaría que vacíe su Windows DNS Cache y cambie el (flush your Windows DNS Cache)DNS de su enrutador a algún otro DNS como Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. Un DNS seguro(DNS)en el router es mejor que configurar cada equipo.

Hay herramientas que pueden interesarle(There are tools that may interest you) : F-Secure Router Checker verificará el secuestro de DNS , esta herramienta en línea verifica los secuestros de DNS y WhiteHat Security Tool monitorea los secuestros de DNS.

Ahora lea(Now read) : ¿Qué es el secuestro de dominio y cómo recuperar un dominio secuestrado?



About the author

Soy ingeniero de windows, ios, pdf, errores, gadgets con más de 10 años de experiencia. He trabajado en muchas aplicaciones y marcos de trabajo de Windows de alta calidad, como OneDrive for Business, Office 365 y más. Mi trabajo reciente ha incluido el desarrollo del lector de pdf para la plataforma Windows y trabajar para que los mensajes de error sean más claros para los usuarios. Además, he estado involucrado en el desarrollo de la plataforma ios durante algunos años y estoy muy familiarizado con sus características y peculiaridades.



Related posts