DNS spoofing

La re­so­lu­ción de nombres en internet puede ma­ni­pu­lar­se de di­fe­re­n­tes maneras. Una forma de ataque es el DNS spoofing, con el que se fa­l­si­fi­can las di­re­c­cio­nes IP. Te contamos cómo ocurre exac­ta­me­n­te, qué objetivo tiene, qué variantes existen y cómo puedes pro­te­ge­r­te.

El sistema de nombres de dominio (DNS, por sus siglas en inglés) es un sistema es­ta­ble­ci­do en todo el mundo para co­rre­la­cio­nar dominios de internet con sus di­re­c­cio­nes IP co­rre­s­po­n­die­n­tes. El DNS devuelve la dirección IP vinculada con el nombre de dominio, un proceso que se conoce como re­so­lu­ción de nombres.

Para que la re­so­lu­ción de nombres funcione, la dirección IP de un servidor DNS debe estar re­gi­s­tra­da en el di­s­po­si­ti­vo. El di­s­po­si­ti­vo dirige su solicitud de DNS a este servidor, que lleva a cabo la re­so­lu­ción del nombre y responde. Si no se ha co­n­fi­gu­ra­do ningún servidor DNS en el di­s­po­si­ti­vo, se utiliza au­to­má­ti­ca­me­n­te el del rúter local.

El concepto general de spoofing significa “burla” o “fa­l­si­fi­ca­ción”. El DNS spoofing se refiere a las di­fe­re­n­tes si­tua­cio­nes en las que se manipula la re­so­lu­ción de nombres DNS. Más co­n­cre­ta­me­n­te, lo que sucede es que se falsifica la dirección IP pe­r­te­ne­cie­n­te a un dominio. Así, el di­s­po­si­ti­vo establece una conexión con la dirección IP fa­l­si­fi­ca­da y desvía el tráfico de datos a un servidor falso. Veamos un ejemplo:

Como la re­so­lu­ción de nombres se lleva a cabo en segundo plano, la víctima no suele darse cuenta de la ma­ni­pu­la­ción. Una de las ca­ra­c­te­rí­s­ti­cas más pe­li­gro­sas del DNS spoofing es que el navegador muestra el dominio correcto.

• d1: El cliente (por ejemplo, el navegador del di­s­po­si­ti­vo) accede primero desde el servidor DNS a la dirección IP pe­r­te­ne­cie­n­te al host llamado “ejemplo.com”.
• d2: El cliente recibe una respuesta a su solicitud que, sin embargo, contiene una dirección IP fa­l­si­fi­ca­da. Por lo tanto, la conexión con el servidor legítimo de “ejemplo.com” no se lleva a cabo.
• h1: En su lugar, la solicitud del cliente se envía al host malicioso que se esconde tras la dirección IP fa­l­si­fi­ca­da.
• h2: El host malicioso entrega al cliente una página de apa­rie­n­cia legítima. No obstante, el dominio fa­l­si­fi­ca­do no supera el ce­r­ti­fi­ca­do de seguridad, por lo que el ataque se hace patente.
• A, B, C: Di­fe­re­n­tes puntos de partida para el DNS spoofing: el cliente o el rúter local, la conexión de redes o el servidor DNS.

El objetivo principal del DNS spoofing es perpetrar ataques que, por lo general, tienen como meta recabar datos sensibles del usuario. Sin embargo, también las empresas legítimas recurren pa­r­cia­l­me­n­te al DNS spoofing. Es bien sabido que algunos pro­vee­do­res de internet (ISP) utilizan este método para aplicar medidas de censura y con pro­pó­si­tos co­me­r­cia­les.

Los ci­be­r­de­li­n­cue­n­tes recurren al DNS spoofing para realizar ataques de phishing y pharming. El objetivo principal es obtener los datos sensibles del usuario. En el DNS spoofing, se hace creer a la víctima que ha llegado a un dominio legítimo y, si­r­vié­n­do­se de su confianza en el dominio burlado, se le transmite un software dañino. La persona instala este malware in­vo­lu­n­ta­ria­me­n­te en el equipo y, con él, infecta su propio sistema.

La mayoría de las personas utilizan, sin ser co­n­s­cie­n­tes de ello, un servidor DNS de su proveedor de internet que suele estar prei­n­s­ta­la­do en el rúter local. De esta forma, cualquier consulta DNS está sujeta a control por parte del proveedor de internet.

Los pro­vee­do­res de internet pueden manipular de­li­be­ra­da­me­n­te sus tablas DNS para aplicar censuras estatales. De esta forma, en muchos países se frustra el acceso de los usuarios a dominios de po­r­no­gra­fía o in­te­r­ca­m­bio de archivos. Si el usuario intenta acceder a uno de estos dominios blo­quea­dos, se le desvía a una página de ad­ve­r­te­n­cia. No obstante, es posible evitar estos bloqueos fá­ci­l­me­n­te uti­li­za­n­do un servidor DNS no censurado.

Este mismo truco de desviar el acceso del usuario a un dominio de­te­r­mi­na­do y llevarlo a otra página también se utiliza para re­co­le­c­tar datos del usuario con fines co­me­r­cia­les. Así, los pro­vee­do­res de internet recurren al DNS hijacking para desviar hacia cierta página a un usuario que busca un dominio no existente o que lo escribe mal. Dicha página muestra pu­bli­ci­dad, por ejemplo, o crea un perfil de usuario que se vende lu­cra­ti­va­me­n­te.

El DNS es una te­c­no­lo­gía fu­n­da­me­n­tal en internet: en todos los es­ta­ble­ci­mie­n­tos de conexión, se recurre a la re­so­lu­ción de nombres. Por este motivo, el DNS spoofing puede afectar a todas y cada una de las co­ne­xio­nes del cliente. Da igual si la víctima accede a una página web o envía un correo ele­c­tró­ni­co: si la dirección IP del servidor afectado ha sido ma­ni­pu­la­da, el atacante puede acceder a los datos.

Estos son los riesgos que entraña el DNS spoofing:

• Robo de datos co­n­fi­de­n­cia­les: por medio de los ataques spear phishing y pharming se roban datos sensibles, como co­n­tra­se­ñas, que a menudo se utilizan para entrar en los sistemas in­fo­r­má­ti­cos o llevar a cabo diversas ac­ti­vi­da­des frau­du­le­n­tas.
• Infección del sistema con malware: la víctima instala un software malicioso en su propio sistema in­vo­lu­n­ta­ria­me­n­te, lo que favorece otros ataques y el espionaje por parte del atacante.
• In­te­r­ce­p­ción de un perfil de usuario completo: los datos pe­r­so­na­les in­te­r­ce­p­ta­dos se venden o se utilizan para otros ataques de spear phishing.
• Riesgo de amenaza pe­r­si­s­te­n­te: si un servidor DNS malicioso está instalado en el sistema, la co­mu­ni­ca­ción queda co­m­pro­me­ti­da. También las re­s­pue­s­tas DNS fa­l­si­fi­ca­das te­m­po­ra­l­me­n­te pueden pe­r­ma­ne­cer en la caché y provocar daños por un periodo pro­lo­n­ga­do.

Un ejemplo concreto: en el marco de la pandemia de COVID-19, en la primavera de 2020 se produjo una oleada de ataques DNS spoofing. Co­n­si­s­tían en ataques de hijacking de rúter, en los que se re­gi­s­tra­ba una dirección IP maliciosa para el servidor DNS en los rúters con accesos de ad­mi­ni­s­tra­dor inseguros. La víctima recibía un supuesto aviso de la Or­ga­ni­za­ción Mundial de la Salud que le invitaba a instalar in­me­dia­ta­me­n­te una apli­ca­ción de in­fo­r­ma­ción sobre la COVID-19. En realidad, el software era un troyano. Si una persona crédula lo instalaba, el troyano buscaba en su sistema local e intentaba captar datos sensibles con el objetivo de crear un perfil completo y uti­li­zar­lo en otros ataques spear phising contra la víctima. Entre los datos robados, figuraban los si­guie­n­tes:

• Cookies (navegador)
• Historial del navegador
• Datos de pago (navegador)
• Datos de acceso guardados (navegador)
• Datos de fo­r­mu­la­rio guardados (navegador)
• Wallets de cri­p­to­mo­ne­das
• Todo tipo de archivos de texto en el di­s­po­si­ti­vo
• Bases de datos para au­te­n­ti­ca­ción de dos factores (2FA)

Las si­guie­n­tes tres variantes de ataque se refieren al esquema (A-C) pre­se­n­ta­do al principio.

En esta variante de ataque DNS spoofing, se manipula ma­li­cio­sa­me­n­te el di­s­po­si­ti­vo local o el rúter. En principio, para la víctima, todo es apa­re­n­te­me­n­te normal: el di­s­po­si­ti­vo se conecta sin problema con el servidor DNS. Sin embargo, se devuelven di­re­c­cio­nes IP malignas al nombre de host so­li­ci­ta­do.

La amenaza de estos ataques perdura hasta que se toman medidas contra la ma­ni­pu­la­ción. El ci­be­r­de­li­n­cue­n­te necesita un vector de ataque para llevar a cabo la intrusión, que puede ser un aspecto técnico, un acceso de ad­mi­ni­s­tra­dor abierto o una co­n­tra­se­ña poco segura. El atacante también puede co­n­ve­n­ce­r­te a través de la in­ge­nie­ría social para que realices tú mismo el cambio sin percibir la amenaza.

En el hijack local, otra forma conocida de ataque DNS spoofing, se configura la dirección IP del servidor DNS con un valor maligno en los ajustes de red del di­s­po­si­ti­vo local.

La víctima puede darse cuenta de la al­te­ra­ción y co­rre­gi­r­la fá­ci­l­me­n­te. El problema es que a menudo la ma­ni­pu­la­ción se combina con un malware que vuelve a fa­l­si­fi­car los datos co­rre­gi­dos por la víctima.

La mayoría de los sistemas ope­ra­ti­vos utilizan el llamado archivo hosts para po­si­bi­li­tar la re­so­lu­ción de nombres de de­te­r­mi­na­dos dominios en el sistema local. Si se coloca una entrada maliciosa en este archivo, el tráfico de datos se desvía hacia un servidor que está en manos del atacante.

La ma­ni­pu­la­ción no tiene fecha de caducidad, aunque una víctima con co­no­ci­mie­n­tos in­fo­r­má­ti­cos puede ad­ve­r­ti­r­la fá­ci­l­me­n­te. Basta con una simple mo­di­fi­ca­ción del archivo hosts para so­lu­cio­nar el problema.

En el rúter local está co­n­fi­gu­ra­da por defecto la dirección IP de un servidor DNS del proveedor de internet. Durante un ataque hijack al rúter, esta se sustituye por un valor malicioso. El ataque supone una amenaza para todo el tráfico de datos que pasa por el rúter. Como en cualquier casa u oficina es habitual que varios di­s­po­si­ti­vos utilicen el rúter para co­ne­c­tar­se, las víctimas de este ataque pueden ser varias.

Muchos usuarios olvidan que pueden co­n­fi­gu­rar el rúter ellos mismos, así que este ataque suele pe­r­ma­ne­cer oculto durante mucho tiempo. Si aparecen problemas, las víctimas culpan ge­ne­ra­l­me­n­te al propio di­s­po­si­ti­vo y no al rúter. Por ello, también hay que pensar en el rúter como fuente de error en cuanto se dan fallos poco ha­bi­tua­les.

Esta variante de DNS spoofing consiste en un ataque de in­te­r­me­dia­rio o man in the middle. El atacante se hace pasar por el servidor DNS de la víctima y emite una respuesta maliciosa. El ataque funciona porque el tráfico DNS se basa en el protocolo de da­ta­gra­mas de usuario (UPD, del inglés user datagram protocol) sin cifrar. Para la víctima, no es posible ga­ra­n­ti­zar la au­te­n­ti­ci­dad de las re­s­pue­s­tas DNS.

Otras formas de ataque, como el ARP spoofing y el MAC spoofing, pueden uti­li­zar­se como puerta de acceso a la red local. La apli­ca­ción de te­c­no­lo­gías de en­cri­p­ta­ción protege de muchos ataques man in the middle.

Esta forma de ataque DNS spoofing se dirige contra un servidor DNS legítimo y, por lo tanto, puede afectar a muchos usuarios. Se trata de un ataque de alto nivel, porque no­r­ma­l­me­n­te han de superarse muchos me­ca­ni­s­mos de seguridad para descifrar el servidor.

Los se­r­vi­do­res de DNS están di­s­pue­s­tos je­rá­r­qui­ca­me­n­te y se comunican entre ellos. Un ci­be­r­de­li­n­cue­n­te puede utilizar el IP spoofing para hacerse pasar por uno de ellos. En este caso, el atacante convence al servidor para que acepte una dirección IP falsa para un dominio, y el servidor deposita la entrada maliciosa en su caché: así, la caché queda “en­ve­ne­na­da”.

Una vez en­ve­ne­na­da la caché, con cada solicitud efectuada al servidor se responde a la víctima con una entrada maliciosa. La amenaza sigue activa hasta que se elimina la entrada de la caché. Como mecanismo de pro­te­c­ción del servidor, existe la extensión DNSSEC, con la que puede ga­ra­n­ti­zar­se la seguridad en los procesos de co­mu­ni­ca­ción de los se­r­vi­do­res dentro del DNS.

Esta forma de amenaza, conocida como rogue hijack, re­pre­se­n­ta un ataque bastante complejo al DNS. Con él, el atacante toma el control de un servidor DNS legítimo. Una vez co­m­pro­me­ti­do, ni siquiera los cifrados DNS más modernos lo protegen. No obstante, mediante el cifrado de contenido, la víctima puede al menos darse cuenta del ataque.

Como hemos visto, el DNS spoofing plantea un peligro serio. Por suerte, hay una serie de medidas sencillas que ofrecen una pro­te­c­ción eficaz frente al DNS spoofing.

No­r­ma­l­me­n­te, los métodos de cifrado ofrecen dos ventajas pri­n­ci­pa­les:

1. Se protegen los datos frente al acceso de terceros no au­to­ri­za­dos.
2. Se garantiza la au­te­n­ti­ci­dad de las partes de la co­mu­ni­ca­ción.

El segundo punto es un factor es­pe­cia­l­me­n­te crítico en la lucha contra el DNS spoofing: si el atacante se hace pasar por un host legítimo, esto genera un error de ce­r­ti­fi­ca­do en la página del usuario. De esta forma, el intento de fraude queda al de­s­cu­bie­r­to.

Para un nivel básico de pro­te­c­ción, debería ga­ra­n­ti­zar­se la seguridad del mayor número de co­ne­xio­nes posible mediante los métodos ha­bi­tua­les de co­di­fi­ca­ción de tra­n­s­po­r­te. Pre­fe­ri­ble­me­n­te, deberías dirigirte a páginas web a través de HTTPS. El famoso co­m­ple­me­n­to de navegador HTTPS Eve­r­y­whe­re permite co­ne­c­tar­se de forma segura a páginas web que entregan co­n­te­ni­dos tanto por HTTP como por HTTPS. Además, conviene que utilices co­ne­xio­nes co­n­fi­gu­ra­das (IMAP, POP3 y SMTP) y pro­to­co­los seguros como TLS y SSL en tus programas de correo ele­c­tró­ni­co.

Si tus co­ne­xio­nes están pro­te­gi­das por un cifrado de tra­n­s­po­r­te, por lo menos podrás darte cuenta de los ataques DNS spoofing: como el host malicioso no tiene el ce­r­ti­fi­ca­do de seguridad del host real, el navegador y el programa de correo ele­c­tró­ni­co avisan al es­ta­ble­ce­r­se la conexión. De esta forma, tienes la opo­r­tu­ni­dad de in­te­rru­m­pir la conexión y tomar otras medidas de seguridad.

El cifrado de tra­n­s­po­r­te protege la tra­s­mi­sión de los datos, pero no pone solución a la vu­l­ne­ra­bi­li­dad de la conexión con el servidor DNS, de forma que esta se convierte en el eslabón más débil de la cadena. No obstante, el usuario puede tomar medidas para cifrar las consultas DNS. Algunas dignas de mención son sobre todo DNSCrypt, DNS over HTTPS (DoH) y DNS over TLS (DoT). Todas estas te­c­no­lo­gías protegen de los pe­li­gro­sos ataques de in­te­r­me­dia­rio, aunque ninguna de ellas está integrada en los sistemas ope­ra­ti­vos más ex­te­n­di­dos. Además, el servidor DNS debe ser co­m­pa­ti­ble con la te­c­no­lo­gía co­rre­s­po­n­die­n­te para acceder al cifrado DNS.

Además de cifrar el tra­n­s­po­r­te y proteger la conexión con el servidor DNS, se puede utilizar una red privada virtual (VPN) para in­cre­me­n­tar la pro­te­c­ción frente al DNS spoofing. Al emplear una VPN, se conducen todas las co­ne­xio­nes por un túnel cifrado. Es im­po­r­ta­n­te mencionar que en la mayoría de los programas VPN es posible depositar la dirección IP de un servidor DNS. De esta manera, si se trata de una dirección maliciosa, la VPN no ofrecerá ninguna pro­te­c­ción contra el DNS spoofing.

En caso de que no quieras perder mucho tiempo eligiendo un proveedor VPN, puedes utilizar la apli­ca­ción WARP gratuita de Clou­d­fla­re, que te ofrece la función VPN y el cifrado DNS a través del so­lu­cio­na­dor de DNS público 1.1.1.1 de Cloudfare. En­co­n­tra­rás más in­fo­r­ma­ción al respecto en el siguiente apartado. En esta apli­ca­ción, el in­cre­me­n­to de la seguridad viene aco­m­pa­ña­do de una interfaz de usuario intuitiva. Por el momento, solo está di­s­po­ni­ble para di­s­po­si­ti­vos móviles, pero en el futuro tendrá también la versión de es­cri­to­rio para Windows y Mac.

Una de las medidas de pro­te­c­ción más eficaces frente al DNS spoofing es utilizar un so­lu­cio­na­dor público de DNS. In­s­ta­lar­lo es tan sencillo que prá­c­ti­ca­me­n­te cualquier usuario puede co­n­fi­gu­rar­lo en su di­s­po­si­ti­vo. Para ello, solo tienes que cambiar el servidor DNS re­gi­s­tra­do en tu sistema. Como ejemplo, podemos nombrar la red Quad9, puesta a di­s­po­si­ción por la or­ga­ni­za­ción sin ánimo de lucro del mismo nombre.

Utilizar un servicio público de DNS ofrece las si­guie­n­tes ventajas:

• Gran velocidad de respuesta de DNS: Las grandes redes de DNS gestionan decenas de se­r­vi­do­res en todo el mundo. Mediante el llamado anycast-routing, se utiliza siempre para la re­so­lu­ción de nombres el servidor más cercano geo­grá­fi­ca­me­n­te hablando, lo que se traduce en tiempos de respuesta breves.
• Alto grado de pro­te­c­ción y anonimato: Muchos pro­vee­do­res de internet venden los datos de sus clientes expuestos durante el tráfico DNS. No­r­ma­l­me­n­te, los so­lu­cio­na­do­res públicos guardan muy pocos datos de los usuarios o incluso ninguno, ofre­cie­n­do así un alto grado de pro­te­c­ción y anonimato.
• Ninguna im­po­si­ción de medidas de censura: Las obli­ga­cio­nes de censura gu­be­r­na­me­n­ta­les solamente son válidas dentro de las fronteras de un país. Los pro­vee­do­res de internet operan por lo general en el país del propio cliente y, por lo tanto, están obligados a im­po­ne­r­las. Por el contrario, un servicio público de DNS es­ta­ble­ci­do en el ex­tra­n­je­ro puede ofrecer sus servicios de manera global sin tener que respetar la censura decretada por ningún estado.
• Co­m­pa­ti­bi­li­dad con los es­tá­n­da­res de seguridad actuales: Las grandes redes públicas de DNS se es­pe­cia­li­zan en responder ex­clu­si­va­me­n­te so­li­ci­tu­des DNS. Por lo tanto, son pioneras en lo que a la apli­ca­ción de es­tá­n­da­res de seguridad como DNSSEC, DoH, DoT y DNSCrypt se refiere.
• Bloqueo de dominios ma­li­cio­sos: Utilizar un so­lu­cio­na­dor público de DNS también puede proteger frente al malware y el phishing. Los dominios ma­li­cio­sos conocidos se añaden a listas negras. Cuando se intenta acceder a ellos, se desvía al usuario hacia una página de aviso.

La siguiente tabla resume las redes públicas de DNS más conocidas. Todos estos servicios se co­n­fi­gu­ran de manera re­du­n­da­n­te mediante dos di­re­c­cio­nes IP, de manera que, en caso de que no se localice el primero de los dos se­r­vi­do­res, se utiliza el segundo. Algunas redes ofrecen otras di­re­c­cio­nes IP en la cuales pueden activarse funciones adi­cio­na­les, como la pro­te­c­ción de menores.