¿Qué es el secuestro de DNS y cómo mitigarlo?

El secuestro de DNS (DNS hijacking) manipula la transacción y hace que los usuarios desconozcan los servidores que están utilizando durante una sesión de Internet.

Es un exploit malicioso. Los usuarios son redirigidos con la ayuda de un servidor DNS falso que cambia la dirección IPS del usuario de Internet redirigido.

El secuestro de DNS, también llamado redirección de DNS, es un tipo de ataque en el que los usuarios son redirigidos sin saberlo a sitios maliciosos.

Los atacantes ejecutan el ataque DNS instalando malware en la computadora del usuario o hackeando la comunicación DNS.

“El secuestro de DNS implica cambios en un servidor de nombres de dominio (DNS), que traduce nombres de dominio legibles por humanos en direcciones IP. Como su nombre lo indica, el “secuestro” significa que un usuario es dirigido a un servidor final diferente “. Esto según la definición de Techopedia.

¿Qué es el DNS?

DNS es un protocolo que se ejecuta en varios servidores. Un servidor DNS devuelve la dirección IP de un sitio web al recibir una solicitud de conexión de tu dispositivo. Permite la conexión entre los dispositivos conectados a la web para comunicarse con los sitios web.

¿Cómo funciona el DNS?

Escribe la dirección de un sitio web en la barra de URL. Por ejemplo, www.amazon.com.

El dispositivo enviará una consulta al servidor DNS para la dirección IP de amazon.com.

El servidor DNS informa la dirección IP.

Tu dispositivo registra la dirección IP proporcionada por el servidor DNS y se conecta al sitio web de Amazon.

La parte más interesante es que todo sucede en segundo plano sin tu conocimiento.

Usos del secuestro de DNS

Pharming Los ciberdelincuentes muestran anuncios no deseados para generar ingresos.
Suplantación de identidad Los hackers muestran versiones falsas de sitios web para robar datos y credenciales.

El propósito de realizar un ataque de DNS es bastante aparente: robar dinero de la cuenta bancaria de la víctima. También realizar fraudes con tarjetas de crédito, vender información de identificación personal en la web oscura y otros actos maliciosos.

Tipos de ataque de secuestro de DNS:

Secuestro de DNS local Al instalar malware troyano en el sistema de un usuario, el atacante cambia la configuración regional de DNS. De esta manera redirige al usuario a un sitio malicioso.
Secuestro de DNS de enrutador Los atacantes se apoderan de un enrutador que tiene una contraseña predeterminada. Luego sobrescriben la configuración de DNS y redirigen a los usuarios conectados a ese dispositivo.
Ataque DNS de hombre en el medio Los atacantes obstruyen la comunicación entre un servidor DNS y un usuario y proporcionan múltiples direcciones IP que apuntan a sitios maliciosos.
Servidor DNS Rogue Los atacantes hackean el servidor DNS, cambian registros y redirigen las solicitudes a sitios maliciosos.

 

Suplantación de DNS

Un tipo de ataque en el que la solicitud se redirige desde un sitio web legítimo a un sitio web malicioso. La suplantación de DNS se puede lograr mediante la redirección de DNS. Por ejemplo, cuando un atacante compromete a un servidor DNS para suplantar sitios web legítimos y redirigir a los usuarios a sitios maliciosos.

Envenenamiento de caché

Es otro tipo de suplantación de identidad (DNS) donde servidores DNS, sistemas y enrutadores almacenan en caché los registros DNS. Los atacantes insertan un DNS falsificado para envenenar el caché de DNS, teniendo un destino de IP alternativo para el mismo dominio.

Mitigando ataques DNS

  • Debes apagar los solucionadores de DNS y colocar los solucionadores legítimos detrás de un firewall sin ningún enlace a la comunicación externa.
  • Tienes que restringir el acceso a un servidor de nombres utilizando autenticación de múltiples factores, firewall, seguridad física y seguridad de red.
  • Debes combatir el envenenamiento de la memoria caché utilizando un ID de consulta aleatoria, un puerto de origen aleatorio y caracteres del alfabeto aleatorio.
  • No ejecutes un servidor de nombres autorizado desde el solucionador, ejecútalos por separado.
  • Debes parchar las vulnerabilidades de inmediato ya que los hackers a menudo buscan servidores DNS vulnerables.
  • Tienes que restringir la transferencia de registros de zona, ya que contienen información que es valiosa para los atacantes.

Después de los ataques de secuestro de DNS informados por Irán en la infraestructura tecnológica de EE. UU., El Departamento de Seguridad Nacional llamó a una directiva de emergencia para tomar las medidas necesarias para las agencias del gobierno de EE. UU. Como contramedida.

El incidente ha generado una mayor conciencia sobre el secuestro de DNS y las organizaciones deben revisar su servidor DNS regularmente para detectar ataques de DNS.

Las organizaciones buscan pentesters capacitados que sean competentes en la intrusión y protección de servidores DNS.

Puedes obtener una certificación de hacking ético que te proporcione las habilidades de un pentester.

Una certificación puede hacer la diferencia entre un hacker ético experto de un hacker ético novato.