Hace unos minutos, decidiste visitar nordpass.com. Escribiste la dirección en tu navegador y ¡puf! Llegaste aquí. ¿Te has preguntado alguna vez cómo funciona el proceso?
Índice
Tu navegador no sabe cómo encontrar este dominio: necesita ponerse en contacto con un servidor DNS para traerte aquí. Y a pesar de conectarte al sitio web correcto, un ataque de suplantación de DNS podría hacer que llegases a otro lugar. Descubre qué es y cómo protegerte de él.
¿Qué es el DNS?
Para entender bien en qué consiste la suplantación de DNS, primero tienes que saber qué son los servidores DNS.
Todos los sitios de internet tienen un nombre de dominio y una dirección IP única. Nuestros navegadores solo pueden acceder a los sitios a través de direcciones IP. Estas direcciones tienen al menos ocho dígitos (o más si el sitio utiliza IPv6), por lo que las personas no podríamos recordarlas fácilmente. Es por eso que utilizamos nombres de dominio para acceder fácilmente (como nordpass.com para NordPass). El dominio y la dirección IP de todos los sitios web se almacenan en un servidor DNS al que nuestros navegadores pueden acceder siempre que lo necesitemos.
Por lo tanto, cuando quieres acceder a un sitio web, introduces el nombre de dominio y tu navegador contacta con un servidor DNS para solicitar la dirección IP correspondiente. Si la dirección figura en la base de datos del servidor, la reenviará y tu navegador te conectará con el sitio web. Sin embargo, el servidor DNS solo incluye las direcciones más populares de tu red. Si el servidor recibe una consulta para un nombre de dominio que no figura en su base de datos, contactará con otro servidor DNS para solicitarla. Después de enviártela, tu servidor local almacenará el nombre de dominio y la dirección IP correspondiente en tu caché durante un breve periodo.
Del mismo modo, tu navegador comprobará su propia caché local antes de contactar con el servidor DNS. Si has visitado el mismo dominio recientemente, tu dirección IP se almacenará allí. De esta forma, tu navegador no tendrá que enviar una nueva solicitud al servidor DNS, y podrás conectarte un poco más rápido.
Cómo funciona la suplantación de DNS
Los hackers emplean ataques de suplantación de DNS (también llamados de envenenamiento de DNS) para redirigir a los usuarios de internet a sitios web falsos que son exactamente iguales que los reales. Por lo general, las personas no se dan cuenta y utilizan estos sitios como de costumbre. El objetivo de los ciberdelincuentes es obtener información sobre sus víctimas (como sus credenciales de inicio de sesión) o instalar malware en sus dispositivos.
Los hackers a veces también utilizan la suplantación de DNS para realizar ataques DDoS. Redirigen a los usuarios de varios sitios al sitio web que quieren atacar y que, al no poder gestionar toda la carga, se cuelga.
Existen algunas vulnerabilidades de DNS que los ciberdelincuentes pueden aprovechar en distintos ataques:
Envenenamiento de la caché
Es uno de los métodos más populares de suplantación de DNS. El envenenamiento de la caché no solo es efectivo para redirigir a los usuarios donde el atacante quiera, sino que también permite corromper las cachés de otros servidores DNS y difundir la dirección IP falsa. El hacker inserta la IP fraudulenta en la caché y el servidor comienza a enviarla cada vez que un usuario la solicita.
De esta forma, cualquier servidor que envíe una consulta para la IP de este dominio también recibirá una falsa y la almacenará en su caché. La entrada DNS falsificada permanecerá allí hasta que caduque la caché, que puede ser de unas pocas horas a un día completo.
Irrumpir en el servidor DNS
Este método es similar al envenenamiento de la caché, puesto que también se basa en introducir una dirección IP falsa en el servidor. Pero no es tan sencillo como engañar a un servidor para que almacene un registro fraudulento en la caché. Los hackers necesitan las credenciales de un usuario válido para entrar en un servidor DNS. Por lo general, las obtienen utilizando malware de «keylogging», «phishing» o ataques de intermediario. Este tipo de suplantación de DNS es difícil de llevar a cabo, pero la dirección IP falsa termina directamente en la base de datos del servidor y permanece allí en lugar de en una caché que caduca rápidamente.
Twitter sufrió un ataque de este tipo en 2009, cuando unos ciberdelincuentes iraníes redirigieron todo su tráfico a su sitio. Sin embargo, Twitter nunca reveló cómo consiguieron los hackers las credenciales de uno de sus empleados.
Ataque de intermediario
Cuando un hacker logra interceptar la comunicación de un usuario con el servidor DNS, puede responder a sus consultas con una dirección IP que conduce a un sitio web falso o malicioso. Cuando el hacker intenta obtener información de la víctima sin que se dé cuenta, crea una copia de un sitio real (una red social, una tienda en línea, un servicio de mensajería, etc.). Algunos sitios web fraudulentos están tan bien hechos que resulta todo un desafío distinguirlos de los originales. Pero algunos rozan lo absurdo para engañar a la gente, como un outlet de una marca conocida de ropa que parece que está diseñado con Paint.
¿Cómo evitar la suplantación de DNS?
Las organizaciones pueden proteger los servidores DNS de distintas formas, y DNSSEC (extensiones de seguridad para el sistema de nombres de dominio, por sus siglas en inglés) es una de las más populares. Emplea una criptografía con clave pública para autenticar las direcciones IP, verificar su origen y asegurarse de que nadie las corrompa a lo largo del proceso.
Lamentablemente, no hay mucho que puedan hacer los usuarios habituales de internet para evitar la suplantación de DNS. Y no hay ninguna forma de saber si la dirección IP que el servidor DNS envía es genuina o se ha reemplazado por otra. Pero no todas son malas noticias. Hay varias formas de detectar si un sitio web es falso:
- Comprueba si aparece el icono de un candado junto a la URL. Esto quiere decidir que el sitio web tiene un certificado TLS/SSL válido y que toda la comunicación que tengas con el sitio web está cifrada. Si los hackers no se esforzaron demasiado a la hora de crear el sitio falso, lo más probable es que no tenga este certificado. Pero la mayoría de las páginas web importantes lo tienen, así que si no ves «http» al inicio de la URL, empieza a sospechar.
- Comprueba la URL. ¿Es el mismo dominio que escribiste en tu navegador? ¿O faltan algunas letras? Estamos tan acostumbrados a leer «amazon.com» que se nos podría pasar por alto que lo que realmente hay escrito es «arnazon.com». Si el dominio no es el mismo que escribiste en primer lugar, se te ha redirigido a otro sitio. Es un motivo más que suficiente para desconfiar del sitio de inmediato. No introduzcas ninguna información personal hasta que verifiques que no se trata de un sitio web fraudulento.
- ¿Encaja con la marca? Si sueles visitar ese sitio a menudo o conoces bien la marca, seguramente notes si hay algo que no acaba de encajar. ¿El logotipo y el eslogan están actualizados? ¿Las imágenes, las fuentes y el diseño general te encajan con lo que esperas de la marca? Si algo te da mala espina, lo mejor es que investigues más a fondo.
- Fíjate en el contenido. Si es un blog personal, podrían colarse algunos errores tipográficos, pero las grandes corporaciones invierten mucho dinero en su imagen y cuidan mucho la forma de escribir, así que no puede haber errores gramaticales serios. Los hackers suelen dedicarse principalmente a recrear el diseño del sitio web y no le dan tanta importancia al contenido. Por lo tanto, si el texto está mal redactado y los titulares no tienen mucho sentido, ve con cuidado.
Estos consejos te ayudarán a identificar un sitio web falso. Sin embargo, si se te redirige a un sitio malicioso, no importa si es real o no: el malware podría entrar en tu dispositivo. Si es algo que te ha pasado, analiza el dispositivo inmediatamente y asegúrate de que puedas utilizarlo de forma segura. Hay muchos tipos distintos de programas maliciosos que pueden infectar tu portátil o smartphone, así que mejor actuar con precaución.