Inteligencia de DNS: qué significa y por qué es importante para la protección contra ataques cibernéticos
La inteligencia de DNS se define como el análisis de los datos que llegan de los sistemas de DNS y de las interacciones entre los usuarios y sitios de Internet. Este artículo aclara el concepto de inteligencia de DNS y demuestra la importancia de considerar este sistema como estrategia de protección para la navegación.
1. ¿Qué es la inteligencia de DNS?
El término inteligencia de DNS a menudo es vinculado a la noción de «amenaza» precisamente para destacar su importancia como estrategia para la protección en la navegación en internet.
Por inteligencia de DNS nos referimos al análisis de datos brindados por sistemas de DNS y por la interacción que se entabla entre los usuarios y los sitios de Internet a través de estos sistemas. Recopilar datos y analizarlos nos permite identificar sitios potencialmente peligrosos con mayor rapidez y eficacia, bloqueando el acceso a ellos.
Uno puede pensar en el DNS (Sistema de Nombres de Dominio) como una especie de guía telefónica de sitios de Internet. Cuando un usuario escribe un nombre de dominio para acceder a un sitio desde el navegador, el nombre ingresado (flashstart.com) se convierte instantáneamente en la dirección IP del sitio o de la computadora en la que el sitio está ubicado. Esto sucede porque la computadora solo puede comprender números.
En el caso del nombre de dominio flashstart.com, por ejemplo, la dirección de IP vinculada al nombre es 151.139.128.11. Cuando un usuario desea conectarse con flashstart.com a través de un navegador, la computadora realiza una serie de solicitudes sucesivas a distintos sistemas que componen el sistema de DNS. El navegador simplifica en gran medida la ruta (que de otro modo sería muy complicada) y accede a una base de datos de asociación (nombre de dominio IP) en la que flashstart.com está asociada a 151.139.128.11. En ese momento, el navegador se conecta con la computadora que tiene la dirección de IP y hospeda el sitio flashstart.com. Todo esto sucede de forma instantánea y transparente para el usuario.
Sin embargo, es preciso recordar que no existe una correspondencia bidireccional entre la dirección de IP y el nombre de dominio. El equipo que tiene la dirección de IP 151.139.128.11, por ejemplo, se corresponde con al menos 44 000 sitios. Para resolver eso, el análisis de DNS nos permite identificar el equipo con un IP específico que contiene los archivos que componen el sitio que buscamos.
Los sistemas de DNS son registros universales, son bases de datos distribuidas en múltiples servidores que se clasifican primero en extensiones de dominio (.com, .it, .edu). Estos «contenedores» que existen dentro del servidor de DNS almacenan información del dominio a la vez que adquieren información de dominios no archivados.
Existen servidores dispersos por todo el mundo que almacenan y administran nombres de dominio y están categorizados según las extensiones de dominio (es decir, las zona raíz del DNS). Estos servidores se conocen como servidores raíz y hay aproximadamente trece de ellos en todo el mundo.
El objetivo central de la inteligencia de DNS es asegurar el camino que hace la computadora hacia la resolución del DNS. Cuanta más información sobre un sitio dado se obtenga y procese, mejor garantizada estará la protección durante la navegación.
2. ¿Por qué la inteligencia de DNS lo protege en la navegación?
El sistema de DNS comprende distintos pasos, que no son más que computadoras que contienen registros y aplicaciones de búsqueda y respuesta instaladas en esas computadoras. Aunque no lo notemos, la inocente solicitud de conectarse a flashstart.com desencadena una serie de verificaciones y preguntas y respuestas entre las múltiples computadoras del sistema de DNS.
A modo de evitar que cada una de esas paradas enlentezca la solicitud, estas computadoras cuentan con memorias de caché que se pueblan a medida que se comprueba que los sitios visitados son seguros y eso es posible gracias a la inteligencia de DNS. Esto significa que si quiero conectarme a google.com, es muy probable que acceda a la página web de Google que ya fue almacenada. Gracias a esto, no será necesario pasar por los procedimientos habituales que enlentecen la conexión. Sin embargo, puede suceder (y ha sucedido) que el dominio de google.com almacenado en un caché en un punto de la ruta nos dirija a un sitio diferente. Eso es un gran problema.
Esto sucede precisamente porque los cibercriminales pueden atacar los registros, es decir las memorias provisorias, y modificar la información. Su meta es hacer que un sitio parezca «limpio» cuando no lo es, o hacer que el usuario crea que está accediendo al sitio solicitado aunque en realidad termine accediendo a un lugar terrorífico.
De todo esto se desprende que los sistemas de DNS son vulnerables. Y la inteligencia de DNS apunta a que sean más seguros.
A lo explicado se suma que los administradores de sistemas tienen acceso a muchas de las paradas del sistema DNS y las modifican para evitar que los dominios que administran terminen en una lista negra y se vuelvan inaccesibles. Y como esta intervención congestiona los sistemas de DNS, lo mejor es activar un sistema de inteligencia que los monitoree de forma constante.
Por último, la inteligencia de DNS es muy útil para realizar investigaciones. Si tenemos toda la información posible sobre un sitio y sobre cómo se conecta a un sistema de DNS, podemos reconstruir los caminos que tomó el cibercriminal y aumentamos nuestras chances de atraparlo.
>> FlashStart lo protege de una amplia gama de amenazas y evita el acceso a sitios web maliciosos ? Comience su prueba gratuita o solicite una cotizaciòn
3. ¿Cómo se logra la inteligencia de DNS?
El modelo de inteligencia de DNS se obtiene mediante un software o servicio de aplicación. Lo importante para el modelo es hacer una actualización oportuna. El objetivo es analizar toda la información posible sobre el sitio, verificando no solo la información que podemos encontrar allí, sino también lo que podemos reconocer en las visitas y experiencias de los usuarios.
Netcraft nos dice que hay unos mil millones de sitios web en todo el mundo, aunque menos de 200 millones de esos sitios se actualizan de forma habitual. Si hacemos un recuento aproximado, veremos que en un período de 24 horas se crean casi 250 000 sitios nuevos en el mundo.
La inteligencia de DNS busca monitorear las actualizaciones realizadas en sitios existentes y registrar sitios nuevos mediante actividades de inteligencia, es decir, recopilando en tiempo real la mayor cantidad de información posible sobre los sitios a partir de la navegación de los usuarios.
Los algoritmos de los servicios de inteligencia de DNS monitorean específicamente la adición de nuevos dominios y subdominios, datos históricos y contenidos nuevos en registros de DNS, asociaciones de nombres de dominio e IP, vínculos entre dominios, registros de WHOIS (quién registró el nombre del dominio), actividades maliciosas y otros elementos más.
4. Ejemplos de actividades de inteligencia de DNS
El sistema de inteligencia de DNS realiza distintas actividades. Para comprender el grado de inteligencia, informamos las verificaciones que se realizan en un único sitio web gracias al software:
» Análisis de registros de DNS presentes en un sitio
» Comprobación de registros históricos de DNS (días, meses, años)
» Mapeo de subdominios para organizar y actualizar el sitio
» Registros inversos de DNS obtenidos haciendo el camino inverso desde el sitio a los sistemas de DNS
» Verificación de nombres en uno de los puntos de camino a resolver el DNS, es decir, en el registrador
» Historial de registros: comprobación de registros de DNS creados por el registrador
» Análisis retrospectivo de los nombres históricos del registrador
» Identificación del software de DNS: información sobre el software del servidor de DNS utilizado
» Nombres de dominio asociados: detección de dominios asociados hospedados en las mismas redes que el dominio principal
» IP asociadas: se realiza el mismo análisis, pero en direcciones de IP.
La última generación de algoritmos de inteligencia de DNS utiliza aprendizaje automático y, en general, inteligencia artificial. Esto sucede porque el volumen de datos por analizar es enorme y el análisis debe realizarse con celeridad. Luego, estos algoritmos se integran en soluciones más amplias para filtrar la navegación, como es el caso del servicio de FlashStart.
>> FlashStart es el filtro web que protege a más de 20 millones de usuarios. Comience su prueba gratuita o solicite una cotizaciòn
El servicio de FlashStart puede presumir de tener un 92,5 % de eficacia, es decir que de 1000 sitios, 925 se califican como limpios y seguros. Pero no es necesario preocuparse por los 75 sitios que quedan fuera del análisis. Estos son sitios incompletos, están escritos en lenguajes ininteligibles y son inofensivos.
La inteligencia de DNS que está integrada a la oferta de FlashStart ya evaluó 190 millones de sitios distribuidos en 200 categorías que, a su vez, conforman las listas negras de los sistemas de DNS. FlashStart ajustó los algoritmos de inteligencia artificial para que examinen aproximadamente 40 000 dominios nuevos al día además de las alertas adicionales recibidas de canales distintos y de la información de navegación (anonimizada) de los usuarios. Todos los días, FlashStart filtra aproximadamente 5 millones de solicitudes de DNS en más de 140 países. Bloquea la resolución de dominios unas 340 millones de veces y, entre esos bloqueos, detiene 21 millones de amenazas maliciosas y fraudes.
En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.