Oferta % Rebajas Oferta festiva Oferta Rebajas % Oferta Rebajas Oferta festiva Oferta Rebajas % Oferta Rebajas Oferta festiva

¿Qué es la suplantación de DNS?

Chad Hammond
dns spoofing

Hace unos minutos, decidiste visitar nordpass.com. Escribiste la dirección en tu navegador y ¡puf! Llegaste aquí. ¿Te has preguntado alguna vez cómo funciona el proceso?

Tu navegador no sabe cómo encontrar este dominio: necesita ponerse en contacto con un servidor DNS para traerte aquí. Y a pesar de conectarte al sitio web correcto, un ataque de suplantación de DNS podría hacer que llegases a otro lugar. Descubre qué es y cómo protegerte de él.

¿Qué es el DNS?

Para entender bien en qué consiste la suplantación de DNS, primero tienes que saber qué son los servidores DNS.

Todos los sitios de internet tienen un nombre de dominio y una dirección IP única. Nuestros navegadores solo pueden acceder a los sitios a través de direcciones IP. Estas direcciones tienen al menos ocho dígitos (o más si el sitio utiliza IPv6), por lo que las personas no podríamos recordarlas fácilmente. Es por eso que utilizamos nombres de dominio para acceder fácilmente (como nordpass.com para NordPass). El dominio y la dirección IP de todos los sitios web se almacenan en un servidor DNS al que nuestros navegadores pueden acceder siempre que lo necesitemos.

Por lo tanto, cuando quieres acceder a un sitio web, introduces el nombre de dominio y tu navegador contacta con un servidor DNS para solicitar la dirección IP correspondiente. Si la dirección figura en la base de datos del servidor, la reenviará y tu navegador te conectará con el sitio web. Sin embargo, el servidor DNS solo incluye las direcciones más populares de tu red. Si el servidor recibe una consulta para un nombre de dominio que no figura en su base de datos, contactará con otro servidor DNS para solicitarla. Después de enviártela, tu servidor local almacenará el nombre de dominio y la dirección IP correspondiente en tu caché durante un breve periodo.

Del mismo modo, tu navegador comprobará su propia caché local antes de contactar con el servidor DNS. Si has visitado el mismo dominio recientemente, tu dirección IP se almacenará allí. De esta forma, tu navegador no tendrá que enviar una nueva solicitud al servidor DNS, y podrás conectarte un poco más rápido.

Cómo funciona la suplantación de DNS

Los hackers emplean ataques de suplantación de DNS (también llamados «de envenenamiento de DNS») para redirigir a los usuarios de internet a sitios web falsos que son exactamente iguales que los reales. Por lo general, las personas no se dan cuenta y utilizan estos sitios como de costumbre. El objetivo de los ciberdelincuentes es obtener información sobre sus víctimas (como sus credenciales de inicio de sesión) o instalar malware en sus dispositivos.

Los hackers a veces también utilizan la suplantación de DNS para realizar ataques DDoS. Redirigen a los usuarios de varios sitios al sitio web que quieren atacar y que, al no poder gestionar toda la carga, se cuelga.

Existen algunas vulnerabilidades de DNS que los ciberdelincuentes pueden aprovechar en distintos ataques:

Envenenamiento de la caché

Es uno de los métodos más populares de suplantación de DNS. El envenenamiento de la caché no solo es efectivo para redirigir a los usuarios donde el atacante quiera, sino que también permite corromper las cachés de otros servidores DNS y difundir la dirección IP falsa. El hacker inserta la IP fraudulenta en la caché y el servidor comienza a enviarla cada vez que un usuario la solicita.

De esta forma, cualquier servidor que envíe una consulta para la IP de este dominio también recibirá una falsa y la almacenará en su caché. La entrada DNS falsificada permanecerá allí hasta que caduque la caché, que puede ser de unas pocas horas a un día completo.

Irrumpir en el servidor DNS

Este método es similar al envenenamiento de la caché, puesto que también se basa en introducir una dirección IP falsa en el servidor. Pero no es tan sencillo como engañar a un servidor para que almacene un registro fraudulento en la caché. Los hackers necesitan las credenciales de un usuario válido para entrar en un servidor DNS. Por lo general, las obtienen utilizando malware de «keylogging», «phishing» o ataques de intermediario. Este tipo de suplantación de DNS es difícil de llevar a cabo, pero la dirección IP falsa termina directamente en la base de datos del servidor y permanece allí en lugar de en una caché que caduca rápidamente.

Twitter sufrió un ataque de este tipo en 2009 cuando los ciberdelincuentes iraníes redirigieron todo su tráfico a su sitio. Sin embargo, Twitter nunca reveló cómo consiguieron los hackers las credenciales de uno de sus empleados.

Ataque de intermediario

Cuando un hacker logra interceptar la comunicación de un usuario con el servidor DNS, puede responder a sus consultas con una dirección IP que conduce a un sitio web falso o malicioso. Cuando el hacker intenta obtener información de la víctima sin que se dé cuenta, crea una copia de un sitio real (una red social, una tienda en línea, un servicio de mensajería, etc.). Algunos sitios web fraudulentos están tan bien hechos que resulta todo un desafío distinguirlos de los originales. Pero algunos rozan lo absurdo para engañar a la gente, como un outlet de una marca conocida de ropa que parece que está diseñado con Paint.

¿Cómo evitar la suplantación de DNS?

Las organizaciones pueden proteger los servidores DNS de distintas formas, y DNSSEC (extensiones de seguridad para el sistema de nombres de dominio, por sus siglas en inglés) es una de las más populares. Utiliza una criptografía de clave pública para autenticar las direcciones IP, verificar su origen y asegurarse de que nadie las manipula mientras están en tránsito.

Lamentablemente, no hay mucho que puedan hacer los usuarios habituales de internet para evitar la suplantación de DNS. Y no hay ninguna forma de saber si la dirección IP que el servidor DNS envía es genuina o se ha reemplazado por otra. Pero no todas son malas noticias. Hay varias formas de detectar si un sitio web es falso:

  • Comprueba si aparece el icono de un candado junto a la URL. Esto quiere decidir que el sitio web tiene un certificado TLS/SSL válido y que toda la comunicación que tengas con el sitio web está cifrada. Si los hackers no se esforzaron demasiado a la hora de crear el sitio falso, lo más probable es que no tenga este certificado. Pero la mayoría de las páginas web importantes lo tienen, así que si no ves «http» al inicio de la URL, empieza a sospechar.

  • Comprueba la URL. ¿Es el mismo dominio que escribiste en tu navegador? ¿O faltan algunas letras? Si el dominio no es el mismo que escribiste en primer lugar, se te ha redirigido a otro sitio. Es un motivo más que suficiente para desconfiar del sitio de inmediato. No introduzcas ninguna información personal hasta que verifiques que no se trata de un sitio web fraudulento.

  • ¿Encaja con la marca? Si visitas ese sitio con frecuencia o conoces bien la marca, deberías ser capaz de darte cuenta de que algo no va bien. ¿El logotipo y el eslogan están actualizados? ¿Están las imágenes, los tipos de letra y el diseño general en consonancia con lo que se espera de la marca? Si hay algo que te haga sospechar, es mejor investigar un poco más.

  • Fíjate en el contenido. Si se trata de un blog personal, es posible que haya alguna errata. Pero las grandes empresas gastan mucho dinero en su imagen, y no corregir errores gramaticales evidentes es muy poco profesional, así que no debería haber ninguno. Los hackers suelen dedicarse principalmente a recrear el diseño del sitio web y no le dan tanta importancia al contenido. Por lo tanto, si el texto está mal redactado y los titulares no tienen mucho sentido, ve con cuidado.

Estos consejos te ayudarán a identificar un sitio web falso. Sin embargo, si se te redirige a un sitio malicioso, no importa si es real o no: el malware podría entrar en tu dispositivo. Si es algo que te ha pasado, analiza el dispositivo inmediatamente y asegúrate de que puedas utilizarlo de forma segura. Hay muchos tipos distintos de programas maliciosos que pueden infectar tu portátil o smartphone, así que mejor actuar con precaución.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.