El sistema de nombres de dominio (DNS) se diseñó en los años 80, cuando el acceso a Internet estaba restringido a agencias gubernamentales, científicos y militares. A los primeros arquitectos del sistema les preocupaba la fiabilidad y la funcionalidad, no la seguridad. Como resultado, los servidores DNS siempre han sido vulnerables a una amplia gama de ataques, como la suplantación de identidad, la amplificación y la denegación de servicio.
Estos ataques son cada vez más frecuentes. Según el informe 2021 Global DNS Threat Report de IDC, el año pasado el 87 % de las organizaciones sufrieron un ataque al DNS. Esto supone un aumento de ocho puntos porcentuales respecto al año anterior. Muchos de estos ataques tuvieron graves consecuencias. Según el informe, el 76 % de los ataques al DNS causaron tiempos de inactividad de las aplicaciones, y el tiempo de mitigación promedio de un ataque fue de más de cinco horas y media.
Varios factores explican este aumento de los ataques, y las organizaciones necesitan un plan para abordar cada uno de ellos.
En los últimos años se han producido dos cambios en el panorama actual del DNS: las nuevas vulnerabilidades del DNS descubiertas y los cambios en los hábitos de navegación por Internet como resultado de la pandemia del COVID-19. Para responder a estas nuevas amenazas, y para proteger contra las amenazas existentes, las organizaciones deben dar mayor prioridad a la seguridad del DNS en general e implementar un enfoque multicapa que vaya más allá de DNSSEC.
En 2021, un 44 % de las organizaciones identificaron los ataques al DNS como uno de sus principales desafíos de seguridad. Una breve mirada retrospectiva al año pasado aclara las razones.
Para empezar, recientemente se han descubierto varias vulnerabilidades nuevas relacionadas con el DNS, entre ellas:
Ataques de envenenamiento de caché del tipo "¿Olvidaste tu contraseña?". Los enlaces de "¿Olvidaste tu contraseña?" son habituales en las aplicaciones web, pero una vulnerabilidad descubierta en julio de 2021 los hacía vulnerables a ataques de envenenamiento de la caché DNS. Los investigadores de seguridad descubrieron que, realizando un ataque de envenenamiento de caché en 146 aplicaciones web vulnerables, podían redirigir los correos electrónicos de restablecimiento de contraseña a servidores controlados por el atacante. Esto les permitía hacer clic en el enlace y restablecer la contraseña del usuario, lo que les proporcionaba acceso legítimo a su cuenta.
Exposición de datos en DNS gestionados. Una investigación presentada en Black Hat USA 2021 demostró que los fallos de ciertos servicios DNS gestionados podrían exponer el tráfico DNS corporativo que contiene información confidencial. El atacante, registrando un dominio en el servicio DNS Route53 de Amazon o en Google Cloud DNS que tuviera el mismo nombre que el servidor de nombres DNS, podía forzar a que todo el tráfico DNS se enviara a su servidor. Esto exponía la información confidencial y podía dar lugar a ataques de falsificación de DNS.
Ataques DDoS tsuNAME contra servidores DNS. tsuNAME es un fallo en el software de resolución DNS que permite ataques DDoS contra servidores DNS. Pueden existir dominios con "dependencias cíclicas'', en las que el dominio A delega en el dominio B, y viceversa. Cuando se enfrentan a dominios que causan dependencias cíclicas, los solucionadores DNS vulnerables entran en un bucle. En un caso, solo dos dominios incorrectamente configurados crearon un aumento del tráfico del 50 % para los servidores DNS autoritativos de archivos .nz en 2020.
Además, el auge del trabajo remoto ha inspirado más ataques DNS. Desde el comienzo de la pandemia del COVID-19, se han lanzado distintos tipos de ataque contra routers domésticos con el secuestro de DNS. En un secuestro de DNS, el atacante hace que el registro DNS de un dominio legítimo apunte a un sitio que él controla. En estos ataques recientes, el sitio en riesgo declaraba ofrecer información sobre el COVID-19, pero en realidad instalaba malware en el dispositivo del usuario.
Con muchos empleados trabajando desde casa a tiempo completo o parcial, un dispositivo en riesgo representa una amenaza importante para la seguridad de la red. En conjunto, un informe de Global Cyber Alliance concluyó que aproximadamente una tercera parte de las fugas de datos en todo el mundo tienen su origen en vulnerabilidades de seguridad del DNS.
Estos nuevos vectores de ataque DNS se unen a una larga lista de amenazas establecidas. Algunos de los ataques más comunes que afectan a la infraestructura DNS son:
Ataques de denegación de servicio DNS: interrumpen los servicios DNS, lo que hace que no sea posible acceder a los sitios que sirven. Estos ataques podrían desperdiciar recursos del servidor solicitando dominios inexistentes (NXDOMAIN) o subdominios aleatorios, o podrían realizar un ataque DoS distribuido (DDoS) contra un servidor DNS.
Falsificación de DNS: es similar al secuestro de DNS, pero el objetivo son los solucionadores DNS, que almacenan en caché los registros DNS solicitados habitual o recientemente. Un ataque de falsificación de DNS o envenenamiento de caché introduce registros DNS falsos en la caché de un solucionador. Esto causa que las solicitudes de esos dominios se direccionen a un sitio web controlado por el atacante.
Amplificación DDoS DNS: se aprovecha de servicios que se comunican por UDP y que tienen respuestas mucho mayores que la solicitud correspondiente. Estos factores permiten a un atacante enviar solicitudes al servicio y que sus respuestas, mucho mayores, se envíen al objetivo. Un ataque de amplificación DNS inunda el objetivo con respuestas DNS, lo que consume ancho de banda y satura los servidores objetivo.
Tunelización DNS: aprovecha los permisos del tráfico DNS para atravesar los firewalls corporativos. Estos ataques utilizan el tráfico DNS para mover los datos entre el malware y el servidor de datos controlado por el atacante.
La gran variedad del panorama de ataques DNS significa que las consecuencias de los ataques también varían. Independientemente de las circunstancias, estas consecuencias suelen ser graves.
Los ataques DDoS DNS, por ejemplo, los que aprovechan el fallo tsuNAME mencionado anteriormente, pueden provocar un rendimiento deficiente o directamente que las aplicaciones web dejen de funcionar por completo. El DNS es un primer paso crucial para que un sitio web pueda cargarse rápidamente, y estos ataques utilizan recursos del servidor que, de otro modo, podrían emplearse para atender solicitudes legítimas. En 2020, el 42 % de las organizaciones que sufrieron un ataque DNS informaron de que su sitio web había estado en riesgo de un modo u otro.
Incluso los ataques no diseñados para interrumpir los servicios DNS, como la amplificación DDoS DNS o la tunelización DNS, pueden crear grandes volúmenes de tráfico hacia los servidores DNS. Este bajo rendimiento tiene múltiples consecuencias secundarias, como porcentajes de conversión más bajos, clasificaciones de búsqueda orgánica más bajas y mucho más.
Los ataques de falsificación, secuestro y envenenamiento de caché también pueden perjudicar las conversiones del sitio web al alejar a los posibles clientes del sitio web legítimo. Además, si se considera que el sitio de una organización está inadecuadamente protegido, a largo plazo esto puede dañar la reputación de la marca de una organización.
Los ataques DNS también pueden tener graves consecuencias para la seguridad de la red de una organización. Cuando las vulnerabilidades mencionadas anteriormente afectaron a determinados proveedores de DNS gestionado llevaron a que el tráfico privado quedara expuesto a los ciberdelincuentes, un problema crítico de seguridad de los datos. Los ataques de tunelización DNS que instalan y controlan malware en una red pueden tener numerosas consecuencias, incluida la pérdida de datos y las demandas de rescate.
En general, el coste medio por ataque DNS en 2020 fue de más de 900 000 USD.
Diversas medidas pueden ayudar a las organizaciones a mitigar los ataques DNS. La primera de ellas: implementar soluciones de seguridad DNS de algún tipo. El informe de IDC concluyó que el 42 % de las organizaciones no han implementado soluciones de seguridad DNS dedicadas.
La protección contra estos ataques requiere soluciones de seguridad DNS. Sin embargo, el diseño y la implementación de estas soluciones deben realizarse cuidadosamente para garantizar que no perjudiquen al rendimiento de las solicitudes de DNS legítimas.
Algunas opciones para mitigar los ataques DNS son:
DNSSEC: DNSSEC es un protocolo de seguridad que firma las respuestas de los servidores DNS. Esto ayuda a proteger contra el secuestro y la falsificación de DNS autenticando los datos devueltos al cliente.
Infraestructura redundante: el funcionamiento de los ataques DoS contra la infraestructura DNS consiste en enviar al servidor DNS objetivo más tráfico del que puede manejar. Mediante el sobreabastecimiento de los servidores y la utilización del enrutamiento anycast, es posible equilibrar la carga de tráfico entre varios servidores. Esto garantiza la disponibilidad si un servidor está sobrecargado o deja de funcionar.
Firewall DNS: un firewall DNS se sitúa entre el servidor de nombres autoritativos de un dominio y los solucionadores recursivos de los usuarios. El firewall puede limitar la velocidad de las solicitudes como protección contra los ataques DDoS o filtrar el tráfico para bloquear las solicitudes maliciosas o sospechosas.
DNS encriptado: por defecto, el DNS es un protocolo no encriptado ni autentificado. DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) proporcionan encriptación y autenticación.
Cloudflare ayuda a millones de clientes a mitigar todo el abanico de amenazas al DNS. El DNS gestionado de Cloudflare ofrece, con un solo clic, DNSSEC para la protección contra los ataques de falsificación y secuestro de DNS. Se basa en los 100 Tb/s de capacidad total de la red de Cloudflare (que multiplica en tamaño el mayor ataque DDoS DNS de la historia) y bloquea los ataques DDoS además de otros tipos de ataques.
La red de Cloudflare se basa en la información sobre amenazas de millones de sitios web, API y redes, por lo que se anticipa automáticamente a las vulnerabilidades más recientes.
Estos sistemas de protección no suponen desventajas de rendimiento. Cloudflare gestiona el DNS autoritativo más rápido del mundo, con un tiempo medio de búsqueda de 11 ms. Puedes incluso mantener tu infraestructura DNS existente mientras utilizas el DNS de Cloudflare como DNS secundario o en una configuración primaria oculta.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
La importancia de la seguridad DNS
Las recientes vulnerabilidades del DNS y sus consecuencias
Cómo identificar los ataques al DNS más habituales
Cómo mejorar la seguridad del DNS
Consulta el documento Cómo mejorar la seguridad, el rendimiento y la fiabilidad del DNS para obtener más información sobre los desafíos de seguridad del DNS y sobre cómo resolverlos sin poner en riesgo el rendimiento.