Saltar al contenido principal

¿En qué consiste el secuestro de DNS?

Un conjunto de servidores DNS secuestrados.

El secuestro de sistema de nombres de dominio (DNS) es una seria amenaza para tu sistema y puede tener consecuencias muy costosas. Como el ataque permite a una tercera persona con malas intenciones tomar el control de la configuración del DNS y redirigir a los usuarios a sitios web fraudulentos, esto puede afectar a muchos usuarios diferentes. Para entender bien qué es el secuestro de DNS, es importante tener una idea general de lo que es un DNS y lo que hace.

En resumen, un DNS se utiliza para rastrear, catalogar y regular sitios web en todo el mundo. Permite a los usuarios acceder a información traduciendo el nombre de un dominio (como kaspersky.com) a la dirección IP que un navegador necesita para cargar los recursos de Internet (como páginas web o artículos de blogs). Si deseas conocer más en profundidad cómo funciona el DNS, lee nuestro artículo sobre Suplantación de DNS y envenenamiento de caché.

Ahora que tienes una mejor idea de lo que es un DNS y su finalidad, vamos a investigar más a fondo qué es un secuestro de DNS.

  • ¿En qué consiste el secuestro de DNS?
  • ¿Cómo funciona el secuestro de DNS?
  • ¿Cómo detectar un secuestro de DNS?
  • ¿Cómo evitar un secuestro de DNS?
  • Preguntas frecuentes sobre el secuestro de DNS

¿En qué consiste el secuestro de DNS?

El secuestro del sistema de nombres de dominio, también conocido como ataque de redireccionamiento se DNS, se produce cuando las consultas de DNS enviadas desde el navegador de una víctima se resuelven de forma incorrecta, y redirigen al usuario a un sitio web malicioso.

Mientras que algunos ataques de suplantación de DNS, como el envenenamiento de caché DNS (en el que el sistema registra la dirección IP fraudulenta en la caché de memoria local), se centran en la modificación de los registros de DNS, el secuestro de DNS implica el cambio de la configuración del DNS, a menudo mediante la instalación de malware en los ordenadores de la víctima. Esto permite al pirata informático tomar el control de tus enrutadores, interceptar las señales del DNS o simplemente piratear las comunicaciones del DNS. El secuestro de DNS suele ser uno de los tipos de ataques más perjudiciales para el sistema de nombres de dominio en general.

Es un gran problema tanto para usuarios personales como para empresas. En el caso del ataque a un solo usuario, permite a los secuestradores llevar a cabo una estafa de phishing (en la que se muestran a las víctimas versiones falsas de sitios web legítimos, que roban datos del usuario como contraseñas, credenciales de inicio de sesión e información de tarjetas de crédito). Sin embargo, en el caso de una página web orientada a consumidores (por ejemplo, perteneciente a una empresa), permite a los ciberdelincuentes redirigir a los visitantes del sitio web de su empresa a páginas fraudulentas que ellos crean. Una vez que los usuarios están allí, estas páginas web creadas por piratas informáticos pueden volver a utilizarse para robar credenciales de inicio de sesión y datos personales confidenciales. Esto podría incluir información de los empleados relativa al funcionamiento interno de tu empresa o incluso datos financieros confidenciales. Como resultado de este ataque, pueden incluso recopilar información de correos electrónicos oficiales entrantes. En general, el secuestro de DNS puede ser un costoso ataque contra los datos y la privacidad.

De un modo bastante curioso, muchos ISP (proveedores de servicios de Internet) reconocidos y gobiernos utilizan un tipo de secuestro de DNS para hacerse cargo de las solicitudes de DNS de sus usuarios. Los ISP lo hacen para recopilar estadísticas y proporcionar anuncios cuando los usuarios visitan espacios de dominio desconocidos. Sucede cuando te redirigen a su sitio web, donde tienen sus anuncios, en lugar de mostrar un mensaje de error. Los gobiernos usan el secuestro de DNS para censurar y redirigir de forma segura a los usuarios a dominios o páginas web que autoriza el gobierno.

¿Cómo funciona el secuestro de DNS?

Cuando escribes la dirección de un sitio web en tu navegador, el navegador recopila la información de la página web de la caché de tu navegador local (si has visitado el sitio hace poco tiempo) o enviará una consulta de DNS al servidor de nombres (suele brindarlo un proveedor de servicios de Internet de confianza). El punto de comunicación entre el navegador que envía la solicitud del DNS y la respuesta del servidor de nombres es el más vulnerable a los ataques porque no está cifrado. Es en este punto donde los piratas informáticos interceptan la consulta y redirigen al usuario a uno de sus sitios web maliciosos para hacerle caer víctima de una extorsión. Existen cuatro tipos diferentes de secuestro de DNS que los ciberdelincuentes utilizan hoy en día: "local", "del enrutador", "del ISP" y "man-in-the-middle".

Secuestro local. En este caso un pirata informático instala un troyano malicioso en tu sistema para atacar la configuración del DNS local. Después del ataque, pueden cambiar esta configuración local para que apunte directamente a sus propios servidores DNS (por ejemplo, en lugar de a un servidor predeterminado). A partir de este momento, todas las solicitudes que realiza el navegador de la víctima se enviarán a los servidores del pirata informático y podrían devolver lo que ellos deseen. También pueden apuntar a otros servidores web maliciosos generales.

Secuestro del enrutador. Al contrario de lo que algunas personas puedan pensar, el secuestro del enrutador suele ser el primer punto de ataque para muchos ciberdelincuentes. Esto se debe a que muchos enrutadores tienen contraseñas predeterminadas o vulnerabilidades de firmware existentes, que los piratas informáticos pueden encontrar con facilidad (muchas empresas no se toman la molestia de individualizar las credenciales de inicio de sesión de sus enrutadores). Una vez que los piratas informáticos iniciaron sesión, modifican la configuración del DNS y especifican un servidor DNS preferido (suele ser de su propiedad), de modo que la conversión de una dirección web en una dirección IP solo la controlen ellos. A partir de aquí, las solicitudes del navegador de los usuarios se reenvían a sitios maliciosos. Esto es gravísimo, ya que no afecta solo a un usuario sino a todos los usuarios conectados al enrutador infectado.

Secuestro del ISP. Este tipo de ciberdelito es mucho más complicado que el secuestro local porque no se puede controlar desde el dispositivo de destino. En su lugar, los piratas informáticos secuestran el servidor de nombres existente del ISP para cambiar las entradas seleccionadas. Como resultado, las víctimas desprevenidas piensan que acceden al servidor DNS correcto, que en realidad ha sido infiltrado por los piratas informáticos. A continuación, los ciberdelincuentes cambian los registros de DNS para redirigir las solicitudes de DNS del usuario a un sitio web malicioso. Debido a que los ISP han adoptado normas de ciberseguridad más estrictas, este ataque es mucho menos frecuente y más difícil de ejecutar. Sin embargo, cuando se produce, este ataque puede afectar a un gran número de usuarios, ya que cualquiera que resuelva sus consultas a través de este servidor puede ser una víctima.

Ataque man-in-the-middle. Este tipo de ataque se centra en la intercepción de las comunicaciones entre tu equipo y el DNS. A través de herramientas especializadas, el pirata informático interrumpe la comunicación entre un cliente y el servidor debido a la falta de cifrado presente en muchas solicitudes de DNS. De este modo, los usuarios solicitantes reciben una dirección IP de destino diferente que apunta a un sitio web malicioso. Esto también puede utilizarse como un tipo de ataque de envenenamiento de caché de DNS tanto en el dispositivo local como en el propio servidor DNS. El resultado es muy parecido al anterior.

Una pantalla que muestra que se ha detectado un ataque de DNS.

¿Cómo detectar un secuestro de DNS?

Por suerte, hay varias formas diferentes y sencillas de verificar si han secuestrado tu DNS. En primer lugar, es importante saber que si algunos de los sitios web que sueles utilizar se cargan más despacio de lo habitual o recibes más anuncios emergentes aleatorios (que suelen indicarte que tu ordenador está "infectado"), es muy probable que hayan secuestrado tu DNS. Sin embargo, solo con estos síntomas es imposible asegurarlo. Por eso, a continuación, te ofrecemos una serie de pruebas prácticas que puedes hacer con tu máquina:

Haz una prueba de "comando ping"

En esencia, un comando ping se usa para ver si una dirección IP en verdad existe. Si tu navegador está haciendo ping a una dirección IP inexistente y sigue resolviendo, hay una alta probabilidad de que hayan secuestrado tu DNS. Esto se puede hacer en Mac y en Windows. En equipos Mac, solo tienes que hacer lo siguiente:

Abre el Terminal y escribe el siguiente comando:

Ping kaspersky123456.com

Si la respuesta es "cannot resolve" (no se puede resolver), tu DNS está bien.

Si usas un ordenador con Windows, solo tienes que hacer lo siguiente:

Abre el símbolo del sistema y escribe lo siguiente:

ping kaspersky123456.com

Si la respuesta es "cannot resolve" (no se puede resolver), tu DNS está bien.

Comprueba el enrutador o usa un "comprobador de enrutador"

Muchas páginas web ofrecen esta prueba. Los servicios de comprobador de enrutador digitales funcionan verificando tu sistema con un "DNS resolver" fiable para determinar si estás usando un servidor DNS autorizado. También puedes visitar la página de administración de tu enrutador en línea y verificar allí la configuración del DNS.

Usa WholsMyDNS.com

Este servicio en línea muestra los servidores DNS que estás usando y la empresa propietaria de estos DNS. En general, tu navegador usa la dirección IP de los servidores DNS que facilita tu ISP. Si el nombre de la empresa no te resulta familiar, es posible que hayan secuestrado tu DNS.

Si tienes la certeza de que han secuestrado tus servidores DNS, o si ha ocurrido antes, te recomendamos que utilices un servicio de DNS público alternativo, como los servidores DNS públicos de Google.

¿Cómo evitar un secuestro de DNS?

Ya sea que se trate de un caso de secuestro de DNS local, del enrutador o del ISP, siempre es mejor evitar que el secuestro ocurra en primer lugar. Por fortuna, puedes tomar una serie de medidas para reforzar la seguridad de tu DNS y la seguridad de tus datos en su conjunto.

Nunca hagas clic en un enlace sospechoso o desconocido. Esto incluye enlaces en correos electrónicos, mensajes de texto o enviados a través de redes sociales. Recuerda que las herramientas que acortan las URL pueden enmascarar aún más los destinos de los enlaces peligrosos, por lo que debes evitarlas en la medida de lo posible. Aunque puede llevar tiempo, siempre debes optar por escribir de forma manual una URL en tu navegador (pero solo después de confirmar que es legítima).

Usa un software antivirus de confianza. Siempre es una buena práctica analizar tu ordenador con regularidad en busca de malware y actualizar tu software cuando se te solicite. El software de seguridad de tu sistema te permitirá descubrir y eliminar cualquier infección resultante de un secuestro de DNS, en especial si se ha infectado mediante un malware troyano durante un secuestro local. Dado que los sitios web maliciosos pueden distribuir todo tipo de programas maliciosos y adware, deberías realizar análisis constantes en busca de virus, spyware y otros problemas ocultos.

Usa una red privada virtual (VPN). Una VPN te brinda un túnel digital cifrado para todas tus consultas y todo el tráfico de sitios web. Las VPN más conocidas usan servidores DNS privados que solo emplean solicitudes cifradas de extremo a extremo para proteger tu máquina local y sus servidores DNS. El resultado es que los servidores reciben solicitudes que no pueden interrumpirse, lo que reduce de forma drástica la probabilidad de un secuestro de DNS "man-in-the-middle".

Cambia la contraseña (y el nombre de usuario) de tu enrutador. Esto parece algo sencillo y evidente, pero muchos usuarios no toman esta precaución. Como ya hemos mencionado, es muy fácil descifrar los datos de acceso predeterminados de un enrutador, dado que rara vez se modifican. Al crear una nueva contraseña, siempre recomendamos utilizar una contraseña segura (de unos 10-12 caracteres de longitud, que contenga una combinación de caracteres especiales, números, y letras mayúsculas y minúsculas).

No te confíes. Si te encuentras en un sitio web que no conoces y te muestra diferentes ventanas emergentes, páginas de aterrizaje y pestañas que nunca antes habías visto, debes abandonar la página de inmediato. Prestar atención a los indicios digitales de advertencia es el primer paso para mejorar la ciberseguridad.

Sin embargo, si tienes un sitio web, hay varias formas de evitar que secuestren tu DNS.

Limita el acceso al DNS. Limitar el acceso a la configuración de tu DNS a solo algunos integrantes de tu equipo de TI específico limita que posibles ciberdelincuentes oportunistas se aprovechen. Además, asegúrate de que estas pocas personas elegidas utilicen la autenticación de dos factores siempre que accedan al registrador de DNS.

Activa el bloqueo de clientes. Hay algunos registradores de DNS que admiten el "bloqueo de clientes", que impide realizar cualquier cambio en los registros DNS sin aprobación. Te recomendamos que lo actives siempre que puedas.

Usa un registrador que admita DNSSEC. Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una especie de etiqueta "real verificada", que permite mantener la autenticidad de una búsqueda de DNS. Como resultado, hace que sea más difícil para los piratas informáticos interceptar las solicitudes que hace el DNS.

No te expongas al secuestro de DNS y a otras formas de ataques de malware. Kaspersky Security Solutions te permite mantener la actividad en línea protegida y privada a través de múltiples dispositivos. Obtén más información hoy mismo.

Preguntas frecuentes sobre el secuestro de DNS

¿En qué consiste el secuestro de DNS?

El secuestro del sistema de nombres de dominio, también conocido como ataque de redireccionamiento DNS, se produce cuando las consultas de DNS enviadas desde el navegador de una víctima se interceptan y se resuelven de forma incorrecta, y redirigen al usuario a un sitio web malicioso. El DNS puede secuestrarse de forma local con malware, a través del enrutador, mediante una intercepción o a través del servidor de nombres.

¿Cómo funciona el secuestro de DNS?

El secuestro de DNS consiste en atacar el punto de comunicación entre el navegador que envía una solicitud de DNS y la respuesta del servidor de nombres, ya que a menudo no está cifrada. En esta intercepción, un pirata informático puede redirigirte a uno de sus sitios web maliciosos para extorsionarte.

¿Cómo puedo detener un secuestro de DNS?

Hay varias formas de detener y evitar el secuestro de DNS. Los usuarios particulares no deben hacer clic en enlaces sospechosos ni visitar dominios con muchas ventanas emergentes. Deben utilizar un buen software antivirus, cambiar el nombre de usuario y la contraseña del enrutador, y acceder a la Web utilizando una VPN.

Productos relacionados:

Artículos y enlaces relacionados:

¿En qué consiste el secuestro de DNS?

¿Necesitas saber qué es un ataque de secuestro de DNS y cómo puedes detectarlo y prevenirlo? Haz clic aquí para descubrir todo lo que necesitas saber sobre el secuestro de DNS.
Kaspersky logo

Artículos relacionados