DNS spoofing

El DNS spoofing, o suplantación de DNS, es el proceso de alterar entradas en un servidor de DNS para redirigir a un usuario específico a una web malintencionada que está bajo control del atacante. El ataque de DNS spoofing, (acrónimo de Domain Name Service, en español, servicio de nombres de dominio) típicamente ocurre en un entorno de red Wi-Fi pública, pero también puede darse en cualquier situación en que el atacante pueda alterar las tablas del ARP (Address Resolution Protocol) y obligar a los dispositivos del usuario objetivo a usar el equipo controlado por el atacante como servidor para una página web específica. Es el primer paso en un sofisticado ataque de phishing sobre una red Wi-Fi pública, y también puede terminar por engañar a los usuarios para que instalen malware en sus dispositivos o para que divulguen información delicada.

La mayoría de los atacantes usan herramientas prefabricadas para ejecutar el spoofing de DNS. Algunos agentes de amenaza crean sus propias herramientas, pero esto no es necesario para este tipo de ataque. Cualquier ubicación con Wi-Fi pública gratuita es un potencial objetivo primario, pero se puede hacer en cualquier ubicación que tenga dispositivos conectados. Una red doméstica o empresarial podría ser vulnerable ante este ataque, pero estas ubicaciones suelen contar con estrategias de monitorización que detectarían actividad malintencionada. Las redes Wi-Fi públicas suelen estar mal configuradas y deficientemente protegidas, lo que brinda a los agentes de amenaza más oportunidad de ejecutar el spoofing de DNS. Es por esto que se recomienda siempre pensar en la seguridad de la red Wi-Fi, tanto si esta es casera como si es pública.

Cuando el atacante encuentra una buena Wi-Fi pública, los pasos básicos de envenenamiento de DNS son:

• Usar arpspoof para engañar al equipo de un usuario y lograr que apunte al equipo del atacante cuando el usuario escriba una dirección de dominio en su navegador. Este paso esencialmente envenena la caché de resolución en el ordenador del usuario.
• Emitir otro comando arpspoof para engañar al servidor del dominio web para que piense que la IP del cliente es la IP del equipo atacante.
• Crear un archivo HOST que apunte la IP del equipo del atacante hacia la página web objetivo. Esta entrada HOST se usa cuando los usuarios solicitan el nombre del dominio.
• Configurar una página web de phishing con la misma apariencia que la página web “real” en un ordenador local malintencionado.
• Recopilar datos de las víctimas en la red, engañándolas para lograr que autentiquen o ingresen su información en las páginas web suplantadas.

El término “spoofing” (que significa “suplantación” en inglés) en el ataque significa que el agente de amenaza está usando una página malintencionada que se parece a una página oficial que el usuario conoce. Como las DNS son una parte clave de las comunicaciones por internet, alterar las entradas le brinda al atacante un escenario de phishing perfecto para recopilar datos delicados. El agente de amenaza puede recopilar contraseñas, información bancaria, números de tarjeta de crédito, información de contacto y datos geográficos.

Como el usuario piensa que la página web es oficial, el atacante puede ejecutar una campaña de phishing. La página suplantada tiene elementos reconocibles para el usuario, e idealmente no tiene señales de alerta que indiquen que la página es falsa. Podría haber presentes señales de alerta no intencionales en una web suplantada, pero los usuarios rara vez las notan, cosa que hace que el spoofing sea una manera eficaz de robar datos privados.

Como los usuarios suelen ser víctimas del phishing en los ataques de spoofing de DNS, estos son una amenaza para la privacidad de los datos. La página a suplantar depende de los objetivos del atacante. Por ejemplo, si un atacante quiere robar información bancaria, el primer paso sería hallar una página bancaria popular, descargar el código y archivos de estilo y cargarlos al equipo malintencionado usado para secuestrar conexiones.

Los individuos que usen la página legítima ingresan el dominio del banco en sus navegadores, pero abren en su lugar la página malintencionada. La mayoría de los atacantes prueban y verifican que la página suplantada esté bien hecha, pero ocasionalmente sucede que hay pequeños errores que revelan que la página está siendo suplantada. Por ejemplo, la página web malintencionada típicamente no tiene instalado un certificado de cifrado, así que la conexión está en “cleartext”. Una conexión sin cifrar es una clara señal de alarma de que una página web alojada en el host no es una página de banca. Los navegadores alertan a los usuarios de que la conexión no está cifrada, pero muchos de ellos ignoran o pasan por alto la advertencia e introducen sus nombres de usuario y contraseña.

Después de que el usuario accede a la página web suplantada, cualquier información introducida en la página, incluyendo la contraseña, número de seguridad social e información privada de contacto, se envía al atacante. Si dispone de suficiente información robada, un atacante podría abrir otras cuentas a nombre de la víctima o autenticarse en cuentas legítimas para robar más información o dinero.

Cualquier usuario que acceda a internet desde redes Wi-Fi públicas es vulnerable al DNS spoofing. Para protegerse, los proveedores pueden usar DNSSEC (seguridad de DNS). Cuando el propietario de un dominio configura las entradas de DNS, DNSSEC añade una firma criptográfica a las entradas requeridas por los llamados de resolución (o “resolvers”) antes de que estos acepten las búsquedas de DNS como auténticas.

El DNS estándar no está cifrado, y no está programado para garantizar que los cambios y búsquedas de resolución provengan de servidores o usuarios legítimos. DNSSEC añade un componente de firma al proceso, que verifica las actualizaciones y garantiza que el spoofing de DNS sea bloqueado. DNSSEC ha obtenido más popularidad en tiempos recientes, debido a que el spoofing de DNS amenaza con vulnerar la privacidad de los datos de los usuarios en cualquier red Wi-Fi pública.

El spoofing de DNS y DNS poisoning (envenenamiento de DNS) son similares, pero tienen características distintivas. Ambos engañan a los usuarios para que divulguen datos delicados, y ambos podrían causar que un usuario objetivo instalara software malintencionado. Tanto el spoofing de DNS como el envenenamiento de DNS constituyen un riesgo para la privacidad de los datos de los usuarios y para la seguridad de una conexión a una página web cuando los usuarios se comunican con los servidores en la Wi-Fi pública.

El envenenamiento de caché cambia las entradas en los llamados de resolución (o “resolvers”) en donde se almacenan las direcciones IP. Esto significa que cualquier usuario de cualquier ubicación en internet será redirigido a una página controlada por un atacante malintencionado, siempre que use las entradas del servidor DNS envenenado. En envenenamiento podría afectar a los usuarios globales dependiendo de cuál servidor quede envenenado.

El DNS spoofing es un término amplio que describe ataques a registros de DNS. Cualquier ataque que cambie las entradas de DNS y obligue a los usuarios a acceder a una página controlada por el atacante se considera spoofing, incluyendo las entradas envenenadas. El spoofing podría llevar a ataques más directos sobre las redes locales, en donde un atacante puede alterar registros DNS de equipos vulnerables y robar datos de empresas o usuarios privados.