Ataques DNS stormshield servidores dns
Ataques DNS stormshield servidores dns

Ante la alerta emitida por el organismo oficial de Internet responsable de la Asignación de Nombres y Números (ICANN) de una escalada de ataques contra la infraestructura de Sistemas de Nombres de Dominio (DNS) el pasado 22 de febrero, Stormshield analiza el origen de estos ataques que han afectado a organizaciones y entidades de todo el mundo.

Publicidad

Como una de las muchas entidades que participan en la gestión descentralizada de Internet, ICANN es específicamente responsable de coordinar y garantizar el funcionamiento estable y seguro de DNS. Por ello ICANN ya ofreció el pasado 15 de febrero, y en respuesta a los informes de ataques contra elementos clave de la infraestructura del DNS, una lista de precauciones de seguridad. Algunos de los ataques reportados buscaban reemplazar las direcciones de los servidores legítimos, redirigiendo el tráfico a sitios maliciosos.

Los servidores DNS ofrecen el listado “oficial” de todos los nombres que utilizamos en Internet y aquí radica la criticidad

“Cuando un usuario o programa en un ordenador establece una conexión hacia un servidor de Internet, lo primero que ocurre, de forma transparente para el usuario, es una consulta del sistema operativo a un DNS.  Esta consulta permite obtener la dirección IP correspondiente al nombre del servidor con el que queremos establecer la conexión”, explica Antonio Martínez, Responsable Técnico de Stormshield Iberia.  “Los servidores DNS ofrecen el listado “oficial” de todos los nombres que utilizamos en Internet y aquí radica la criticidad e importancia de este ataque:  si conseguimos modificar la dirección IP del servidor legítimo por otra dirección IP falsa, el usuario acabará conectándose a un servidor ilegítimo, de forma que la información acabará en manos del atacante, especialmente las contraseñas y cuentas utilizados para el acceso”.

Si bien este tipo de ataques no son nuevos, la reciente oleada se ha realizado con una intensidad nunca vista y además de forma tan masiva y coordinada que hace sospechar que los hackers responsables cuentan con el apoyo de algunos países que pudieran estar involucrados en el ataque. Los nombres suplantados pertenecen a todo tipo de servidores y, entre ellos, algunos pertenecientes a agencias gubernamentales de EEUU, proveedores de Internet en Oriente Medio y Europa, líneas aéreas y la industria del petróleo.

Recomendaciones de Seguridad

En este contexto, la principal recomendación de ICANN para evitar este tipo de ataques coordinados pasa por actualizar el protocolo DNS mediante las extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) que implementa firma digital para autenticar y garantizar la integridad de las consultas de nombres realizadas.

En la actualidad el grado de implantación de las extensiones DNSSEC es minoritario (en torno al 20%), y esto es debido a que cuando se desarrollaron los protocolos de Internet, el único objetivo que se buscaba era favorecer una conectividad rápida y ágil, sin pensar en el amplio abanico de servicios e infraestructuras que se conectan a Internet hoy en día.

A este respecto, el ataque DNS es otro ejemplo que debería ser tomado en cuenta por los responsables empresariales. Ciertamente, el mundo de hoy no se puede concebir sin las autopistas de información, pero, sin embargo, existe una carencia de seguridad desde el propio diseño de muchos de los protocolos utilizados.

“Aquí, la principal dificultad estriba en cómo coordinar acciones cuando son tantos y tan diversos los actores implicados: gobiernos, instituciones, organismos, empresas y particulares de todo el mundo con intereses completamente dispares”, matiza Antonio Martínez. “Los que nos dedicamos a la tarea de mejorar la seguridad de las redes y sistemas, estamos acostumbrados a este tipo de colaboración e intercambio de información de seguridad, pero para poder tener éxito en la tarea se necesita la implicación de gobiernos e instituciones de todo el mundo.