DNS hijacking: la amenaza del sistema de nombres de dominio

El sistema de nombres de dominio, o domain name system (DNS), permite al usuario escribir la dirección de las páginas web a las que desea acceder ―al menos, las que son fáciles de recordar― en la barra del navegador. Este proceso, de hecho, siempre se basa en una dirección IP numérica: cuando el usuario introduce la URL, el navegador envía una solicitud al servidor DNS, que, a su vez, le pro­po­r­cio­na la dirección IP co­rre­s­po­n­die­n­te a ese dominio. En términos generales, este método, de­no­mi­na­do re­so­lu­ción de nombre, funciona igual que los típicos servicios de in­fo­r­ma­ción te­le­fó­ni­ca, aunque de forma to­ta­l­me­n­te au­to­má­ti­ca: al in­tro­du­cir el nombre, se obtiene di­re­c­ta­me­n­te el número.

El DNS hace posible el uso que hacemos de Internet todos los días, pero, pre­ci­sa­me­n­te por eso, conlleva un riesgo in­quie­ta­n­te: la facilidad con que el sistema puede ma­ni­pu­lar­se con fines frau­du­le­n­tos. Con el DNS hijacking, los ci­be­r­de­li­n­cue­n­tes pueden in­te­r­ce­p­tar las so­li­ci­tu­des del navegador y redirigir al usuario a una página distinta a la deseada. Si esto sucede, el usuario accede a una web ilegítima y po­te­n­cia­l­me­n­te dañina, donde su di­s­po­si­ti­vo queda expuesto a virus, otros tipos de malware o el robo de datos co­n­fi­de­n­cia­les, sufriendo daños co­n­si­de­ra­bles sin darse cuenta.

¿Cómo funciona esta te­c­no­lo­gía, y cómo puedes pro­te­ge­r­te de ella? Si quieres saber la respuesta, sigue leyendo.

El momento en que se establece la co­mu­ni­ca­ción con el servidor es el más arrie­s­ga­do, porque el in­te­r­ca­m­bio de datos que se produce al formular la solicitud y la respuesta no suele estar en­cri­p­ta­do y se basa en la confianza en el sistema. Esta ci­r­cu­n­s­ta­n­cia permite a los atacantes in­te­r­ce­p­tar la solicitud y redirigir al usuario a otras páginas de diversas maneras.

A menudo, los hackers se­cue­s­tran el propio router de sus víctimas, apro­ve­cha­n­do que casi nadie cambia la co­n­tra­se­ña de este di­s­po­si­ti­vo: en la mayoría de hogares, se utiliza el nombre de usuario y la co­n­tra­se­ña que vienen de serie. Como muchos fa­bri­ca­n­tes no se molestan en es­ta­ble­cer datos de inicio de sesión pe­r­so­na­li­za­dos para cada router que di­s­tri­bu­yen, el atacante puede invadir fá­ci­l­me­n­te el software del di­s­po­si­ti­vo con los datos pre­de­te­r­mi­na­dos.

Una vez allí, modifica la co­n­fi­gu­ra­ción del sistema y es­pe­ci­fi­ca el servidor DNS que él quiera, o lo que es lo mismo, su propio servidor. En este caso, la re­so­lu­ción del nombre, es decir, la co­n­ve­r­sión de la dirección web a la co­rre­s­po­n­die­n­te dirección IP, estará co­m­ple­ta­me­n­te co­n­tro­la­da por el hacker. De este modo, cada intento de solicitar el acceso a un sitio web es su­s­ce­p­ti­ble de provocar que el usuario sea re­di­ri­gi­do a una página frau­du­le­n­ta.

En este tipo de ataque, el blanco es el propio ordenador del usuario. Mediante la inyección de troyanos, el atacante accede a la co­n­fi­gu­ra­ción de los DNS del di­s­po­si­ti­vo. Por ejemplo, en Windows puedes es­ta­ble­cer los se­r­vi­do­res que prefieras. El hacker lo hace por ti y, se­n­ci­lla­me­n­te, establece su propio servidor. De hecho, el usuario podría verlo si abriera la co­n­fi­gu­ra­ción de los DNS, pero ¿quién comprueba re­gu­la­r­me­n­te la co­n­fi­gu­ra­ción del sistema operativo? Al igual que con el método anterior, el ordenador envía las so­li­ci­tu­des di­re­c­ta­me­n­te al servidor malicioso, por lo que todo intento de acceder a una página puede provocar la re­di­re­c­ción a otro sitio web.

Mientras que los dos tipos de ataque descritos más arriba están dentro del ámbito de in­flue­n­cia del usuario, con el rogue hijack, en cambio, sus di­s­po­si­ti­vos no se ven di­re­c­ta­me­n­te afectados. En este caso, el hacker ataca y secuestra di­re­c­ta­me­n­te un servidor de nombres de dominio, como los que ofrecen los pro­vee­do­res de Internet. Por lo tanto, el di­s­po­si­ti­vo del usuario accede a un servidor DNS en principio legítimo, pero que ya no está bajo el control del proveedor real, o al menos pa­r­cia­l­me­n­te. Con este sistema, el atacante suele centrarse sobre todo en algunas so­li­ci­tu­des de acceso concretas.

Es difícil llevar a cabo este tipo de ataque, ya que la mayoría de los pro­vee­do­res de se­r­vi­do­res de nombres cuentan con es­tá­n­da­res de seguridad muy altos. Sin embargo, si algún atacante logra llevar a término un rogue hijack, obtiene acceso directo a los datos de una inmensa cantidad de usuarios. En este caso, cualquier cliente que realice la re­so­lu­ción de nombres a través del servidor DNS in­te­r­ce­p­ta­do podría ser víctima del DNS hijacking.

En un ataque de hombre in­te­r­me­dio, el atacante actúa como in­te­r­me­dia­rio e in­te­r­ce­p­ta paquetes de datos durante el proceso de co­mu­ni­ca­ción entre el cliente y el servidor. Como las so­li­ci­tu­des de DNS a menudo no están en­cri­p­ta­das, el atacante puede in­te­r­pre­tar­las fá­ci­l­me­n­te. En lugar de la página so­li­ci­ta­da, el usuario obtiene la dirección IP de una web maliciosa. En este caso, lo más probable es que el servidor DNS legítimo nunca llegue a recibir la solicitud.

Como hemos visto, mediante el DNS hijacking se redirige al usuario a una página web no deseada, pero quizás te estés pre­gu­n­ta­n­do qué daños puede provocar en concreto esta situación. Por ejemplo, es posible que el sitio web frau­du­le­n­to infecte el sistema del usuario con algún programa malicioso. Sin embargo, en la práctica, los ci­be­r­de­li­n­cue­n­tes apenas utilizan esta forma de ataque, sino que recurren a dos te­c­no­lo­gías mucho más comunes: el phishing y el pharming.

En el caso del phishing, el usuario va a parar a la réplica de otra página, diseñada para engañarlo y obtener sus datos pe­r­so­na­les. Por ejemplo, alguien puede pensar que acaba de abrir la web de su entidad bancaria e in­tro­du­cir sus datos de inicio de sesión como de costumbre, incluida la co­n­tra­se­ña, sin darse cuenta de que se trata de una fa­l­si­fi­ca­ción. De este modo, el atacante puede guardar y utilizar la in­fo­r­ma­ción in­tro­du­ci­da por el usuario para se­cue­s­trar su cuenta bancaria.

El phishing también puede tener lugar sin DNS hijacking: por ejemplo, en caso de que el usuario haga clic en algún enlace ma­ni­pu­la­do. No obstante, el secuestro del sistema de nombres de dominio aumenta los riesgos de este tipo de ataque: el usuario puede pensar que lo ha hecho todo bien, como escribir la URL correcta en la barra de di­re­c­cio­nes del navegador o, incluso, hacer clic en uno de sus propios ma­r­ca­do­res y, sin embargo, ser re­di­ri­gi­do a una página indeseada. Debido al alto nivel de confianza en el sistema DNS, la mayoría de los usuarios no co­m­prue­ban si realmente están navegando por la página web correcta o por una falsa.

El pharming, por su parte, no suele pe­r­ju­di­car tanto al usuario, aunque también puede ser muy útil para el atacante. Con este método, se suele redirigir a la persona a una página repleta de anuncios. Cada vez que se accede a esta web, que tiene fin pu­bli­ci­ta­rio, el operador obtiene dinero, incluso si el usuario cierra la página de inmediato. Los ingresos generados mediante este sistema suelen in­ve­r­ti­r­se en otras ac­ti­vi­da­des de­li­c­ti­vas.

También en el ámbito oficial se utiliza el DNS hijacking cada vez con más fre­cue­n­cia. Algunos gobiernos censuran Internet con este sistema, vetando la expresión de opiniones políticas o el acceso a la po­r­no­gra­fía, por ejemplo. Así, los usuarios que intentan visitar un sitio web in­te­r­ve­ni­do son re­di­ri­gi­dos au­to­má­ti­ca­me­n­te a otra página. Sin embargo, a di­fe­re­n­cia del phishing, con esta forma de censura se suele informar cla­ra­me­n­te al usuario sobre el proceso.

Incluso los propios pro­vee­do­res de Internet recurren al DNS hijacking, al menos en parte: si un usuario intenta acceder a una dirección que no está re­gi­s­tra­da en el DNS, se emite un aviso de error (NXDOMAIN) y no se abre ninguna página. Por ejemplo, esto suele ocurrir cuando nos equi­vo­ca­mos al escribir la dirección en la barra del navegador. Antes de que se emita el aviso de error, la solicitud pasa por todos los niveles del sistema de nombres de dominio. Solo cuando el nivel superior informa de que no existe ninguna entrada con esta dirección, aparece el co­me­n­ta­rio en el navegador.

Justo en ese momento, los pro­vee­do­res de Internet utilizan el DNS hijacking: primero, in­te­r­ce­p­tan el aviso de error y, en su lugar, pro­po­r­cio­nan una dirección IP que envía al usuario a otra página web. Los pro­vee­do­res de Internet utilizan este método para redirigir al usuario a sitios con mucha pu­bli­ci­dad, con el fin de generar ventas directas u ofertarle sus propios productos. Aunque no se dañe al usuario, el alud de pu­bli­ci­dad puede resultar bastante molesto.

Tan variadas como las formas que puede adoptar el DNS hijacking son las opciones que tenemos a nuestro alcance para pro­te­ge­r­nos. La primera medida es cambiar los datos de acceso del router. Ob­via­me­n­te, conviene elegir una co­n­tra­se­ña que sea segura. En cualquier caso, mo­di­fi­car­la siempre será mejor que dejar los valores pre­de­te­r­mi­na­dos, ya que es muy poco probable que los es­ta­fa­do­res de Internet se tomen la molestia de intentar de­s­ci­frar­la. Al margen de esto, debes mantener ac­tua­li­za­do el firmware del di­s­po­si­ti­vo. Por lo general, los fa­bri­ca­n­tes suelen lanzar ac­tua­li­za­cio­nes de forma re­la­ti­va­me­n­te periódica para solventar las brechas de seguridad.

Para sa­l­va­gua­r­dar tu propio ordenador, también has de pro­te­ge­r­te de los troyanos. Un buen software antivirus es la mejor defensa, aunque, por tu parte, también debes tener cuidado a la hora de manipular archivos pro­ce­de­n­tes de Internet. Nunca de­s­ca­r­gues archivos de una fuente de­s­co­no­ci­da o so­s­pe­cho­sa.

Las co­ne­xio­nes VPN pro­po­r­cio­nan pro­te­c­ción adicional. Con este sistema, el usuario no accede a la página web di­re­c­ta­me­n­te, sino que la co­mu­ni­ca­ción se establece a través del servidor de un servicio VPN. Por lo general, este tipo de conexión siempre está to­ta­l­me­n­te en­cri­p­ta­da, lo que vuelve prá­c­ti­ca­me­n­te imposible un ataque man in the middle.

En general, la mejor manera de pro­te­ge­r­se contra estas y otras amenazas que presenta Internet es navegar con cierto es­ce­p­ti­ci­s­mo y mucha pre­cau­ción. Hay que prestar especial atención a las páginas web que procesan datos del usuario su­s­ce­p­ti­bles de ser objeto de robo (entidades fi­na­n­cie­ras, tiendas online, etc.) y ase­gu­rar­se de que su contenido no es frau­du­le­n­to. Por ejemplo, los ce­r­ti­fi­ca­dos SSL, que se vi­sua­li­zan fá­ci­l­me­n­te en el navegador, nos pueden dar una pista.

Ac­tua­l­me­n­te, se están de­sa­rro­lla­n­do formas más seguras de re­so­lu­ción de nombres. Con el DNS mediante HTTPS y el DNS mediante TLS, la tra­n­s­fe­re­n­cia está en­cri­p­ta­da, pro­te­gie­n­do así al usuario de los ataques man in the middle y, en general, au­me­n­ta­n­do su pri­va­ci­dad. Sin embargo, esta te­c­no­lo­gía todavía no se ha co­n­ve­r­ti­do en el estándar de todos los sistemas.