¿Qué es la amenaza global de secuestro de DNS?
Los expertos de las principales empresas de ciberseguridad, incluidas Tripwire, FireEye y Mandiant, han informado sobre una ola alarmantemente grande de ataques de secuestro de DNS en todo el mundo. Estos ataques están dirigidos a entidades gubernamentales, de telecomunicaciones e Internet en Medio Oriente, Europa, el Norte de África y América del Norte.
Los investigadores no han identificado públicamente los sitios a los que se dirigen, pero han reconocido que el número de dominios que se han visto comprometidos es de docenas. Estos ataques, que han estado ocurriendo al menos desde 2017, se utilizan junto con credenciales previamente robadas para dirigir a los usuarios a sitios web falsos diseñados para robar credenciales de inicio de sesión y otra información confidencial.
Aunque nadie se ha atribuido el mérito de estos ataques, muchos expertos creen que los ataques provienen de Irán. Varias de las direcciones IP de los atacantes han sido rastreadas hasta Irán. Si bien es posible que los atacantes estén falsificando IP iraníes para despistar el rastro, los objetivos del ataque también parecen apuntar a Irán. Los objetivos incluyen sitios gubernamentales de varias naciones de Oriente Medio, sitios que contienen datos que no tienen ningún valor financiero, pero que serían muy valiosos para el gobierno de Irán.
¿Cómo funcionan estos ataques de secuestro de DNS?
Se están llevando a cabo algunas estrategias de ataque diferentes, pero el flujo de los ataques es el siguiente:
- El atacante crea un sitio ficticio que se ve y se siente igual que el sitio al que está apuntando.
- El atacante utiliza un ataque dirigido (como el spear phishing) para obtener credenciales de inicio de sesión en el panel de administración del proveedor DNS* para el sitio de destino.
- El atacante entra en el panel de administración de DNS y cambia los registros DNS para el sitio al que se dirige (esto se conoce como secuestro de DNS), de modo que los usuarios que intenten acceder al sitio serán enviados al sitio ficticio.
- El atacante forja un certificado de cifrado TLS que convencerá al navegador del usuario de que el sitio ficticio es legítimo.
- Los usuarios desprevenidos van a la URL del sitio comprometido y son redirigidos al sitio ficticio.
- Los usuarios intentan iniciar sesión en el sitio ficticio y el atacante recopila sus credenciales de inicio de sesión.
* El Sistema de Nombres de Dominio (DNS) es como la guía telefónica de Internet. Cuando un usuario escribe una URL, como ‘google.com’ en su navegador, sus registros en servidores DNS que dirigen a ese usuario al servidor de origen de Google. Si se manipulan esos registros DNS, los usuarios pueden terminar en un lugar que no esperaban.
¿Cómo se pueden prevenir los ataques de secuestro de DNS?
Los usuarios individuales no pueden hacer mucho para protegerse de perder credenciales en este tipo de ataques. Si el atacante es lo suficientemente minucioso al crear su sitio ficticio, puede ser muy difícil incluso para los usuarios altamente técnicos detectar la diferencia.
Una forma de mitigar estos ataques sería que los proveedores de DNS reforzaran su autenticación, tomando medidas como requerir autenticación de 2 factores, lo que dificultaría enormemente el acceso de los atacantes a los paneles de administración de DNS. Los navegadores también podrían actualizar sus reglas de seguridad, por ejemplo, analizando el origen de los certificados TLS para asegurarse de que se originan en un origen que se ajusta al dominio en el que se utilizan.