Seguridad DNS: por qué es fundamental proteger la navegación

La seguridad del DNS es un sistema de protección para evitar acabar en sitios web peligrosos

Qué es la seguridad DNS y por qué es necesario proteger los DNS para una navegación sin riesgos. En este artículo te recordamos el significado de DNS, analizamos sus vulnerabilidades aprovechadas por los ciberdelincuentes y te mostramos la mejor solución.

1. ¿Qué es un DNS?

La seguridad del DNS, por lo tanto, la seguridad del DNS, es un tema especialmente candente, porque los ciberdelincuentes explotan las vulnerabilidades del protocolo DNS para eludir los sistemas de protección tradicionales. Para entender por qué sucede esto y especialmente cómo defender los dispositivos personales y de la empresa, intentemos primero explicar el contexto.

El DNS (Domain Name System) se define a menudo como la guía telefónica de Internet. Es un sistema de denominación jerárquico, descentralizado, utilizado para identificar equipos y servicios accesibles a través de la red. Generalmente tenemos dos formas de acceder a un sitio web de Internet o a una página web específica. Podemos teclear el nombre del dominio del sitio web (flashstart.com/es/) directamente en la barra de navegación del navegador, o bien activamos la apertura de un enlace hacia una página (flashstart.com/es/filtrado-de-dns/), que tal vez recibimos por correo electrónico o chat.

Pero, cuando en la barra de navegación del navegador escribes flashstart.com y haces clic en Enviar, el navegador automáticamente transforma (resuelve) el nombre de dominio en una dirección IP, ya que la computadora reconoce la IP y no una cadena de texto. En realidad, el navegador exige que el proveedor de Internet que utilizamos solicite a los servicios de resolución de DNS, de los que hablaremos en breve, que conviertan el nombre de dominio en una secuencia de números y puntos.

En el caso de flashstart.com la dirección IP es 151.139.128.11. Esto significa que el programa de navegación se conecta al servidor que tiene esa dirección y que aloja el sitio web flashstart.com. Más concretamente, las tres primeras partes de la IP, en caso de que tengamos una IP del tipo Ipv4, corresponden al ID de la red mientras que la última al ID del host, es decir, el dispositivo del usuario.

Sin embargo, debe subrayarse que no existe una correspondencia única entre la dirección IP y el nombre de dominio. Por ejemplo, el nombre de dominio 151.139.128.11 corresponde a 44 mil sitios web alojados en un mismo servidor. Por lo tanto, el DNS es la forma en que un nombre de dominio se asocia con una dirección IP.

Pero DNS es también el protocolo que rige el funcionamiento del servicio. El sistema se introdujo en 1983 y sus características originales se describen en el protocolo RFC 882. RFC (Request for Comment) es un documento que explica con precisión y en detalle cómo debe funcionar el sistema DNS.

En la práctica, el sistema DNS es un registro universal, una base de datos distribuida de servidores DNS, categorizados en primer lugar por extensiones de dominio (.com, .it, .edu). Cada dominio corresponde a un “contenedor” que archiva información sobre los dominios y que también es capaz de obtener información sobre otros dominios no archivados. Entre los registros de la base de datos, obviamente, el más importante es la dirección IP correspondiente al nombre de dominio, que es la que recibirá el navegador para acceder al sitio web solicitado.

Los servidores repartidos por todo el mundo que archivan y gestionan los nombres de los dominios, categorizados según las extensiones de dominio (técnicamente llamadas zonas raíz DNS) se denominan servidores de nombres raíz. Existen 13 servidores de nombres raíz en todo el mundo.


>> FlashStart lo protege de una amplia gama de amenazas y evita el acceso a sitios web maliciosos → ¡Comience su prueba gratuita ahora!


2. ¿Por qué el DNS es vulnerable?

La ruta que conecta la computadora con el sitio web al que el usuario quiere llegar, por lo tanto, la otra computadora con la que desea establecer una conexión, está marcada por varias bases de datos o tablas que de alguna manera están conectadas a la resolución DNS. Uno de estos está en nuestra casa y es parte de nuestro módem/router. Además, cada computadora incluye un archivo de texto con la lista de algunos nombres de dominio: asociaciones IP. Este es un archivo que es «leído» por la computadora en caso de que haya conexiones entre computadoras dentro de la misma red local. Hay varios sistemas DNS a lo largo de la ruta por dos razones principales: ejecutar la asociación correcta y acelerar la navegación. Cuanto más rápida sea la transformación, más rápida será la conexión entre dos ordenadores y, por tanto, la navegación.

Y es precisamente en las diferentes tablas de asociación que se encuentran a lo largo de la ruta donde pueden actuar los ciberdelincuentes. El principio básico que explotan es bastante simple: modificar las tablas para asociar un nombre de dominio con una dirección IP incorrecta que lo lleva a un sitio web, servicio o recurso peligroso. El usuario escribe el nombre de dominio o hace clic en un enlace aparentemente “limpio” y terminará en el infierno.

Los ataques man-in-the-middle, por ponerte un ejemplo sencillo, modifican el tráfico de Internet, desplazándolo hacia un servicio proxy “transparente” que intercepta el tráfico y, por tanto, toda la información que transita.

Como muchos protocolos de Internet, el sistema DNS no se diseñó pensando en los riesgos potenciales para la seguridad. Estos límites hacen que los servidores DNS sean vulnerables a muchos tipos de ataques. Estos incluyen la suplantación de identidad, la amplificación DDoS (Denegación de servicio) y, como decíamos, el robo de información privada y personal. Está claro que, si el sistema DNS es fundamental para navegar, también es el más manipulado para realizar un ataque.

Además, los ataques DNS van de la mano con otros tipos de ataques. Los ciberdelincuentes las utilizan para “distraer” a los administradores de red de una empresa mientras la incursión se realiza por otro medio.

La suplantación de DNS, la tunelización, el secuestro, el ataque nxdomain, el fantasma, el subdominio aleatorio, la búsqueda de dominio, el CPE de botnet (Equipo en las instalaciones del cliente, como el enrutador doméstico) son los tipos de ataque que se pueden llevar a cabo utilizando el sistema DNS. Entonces, de una forma u otra, todos los piratas informáticos intentan modificar la base de datos DNS al volver a dirigir las solicitudes.


>> Puede activar la protección FlashStart® Cloud en todos los Routers y Firewalls para garantizar la seguridad de sus dispositivos móviles y de escritorio y de los dispositivos IoT en las redes locales


3. Cómo solucionar el problema de la Seguridad DNS

Como está claro que debemos actuar para proteger mejor los sistemas DNS, ya a finales de los 90 se actualizó el protocolo con algunas extensiones de seguridad, las llamadas DNSSEC (Domain Name System Security Extensions).

Estas extensiones introdujeron un proceso de autenticación en el intercambio de información entre sistemas DNS, pero no es suficiente, ya que la autenticación es encriptada e inalterable, pero la información no. Si, como sucede, los atacantes acceden a las bases de datos, tablas y reglas presentes en los servidores que albergan los sistemas DNS, no existe una autenticación capaz de detectar que los datos han sido modificados en el origen.

Por lo tanto, ¿qué haremos? La solución ideal sería que las organizaciones mundiales que administran los servidores DNS tuvieran control total sobre estos sistemas, pero estos deben ser, por definición, abiertos y fáciles de administrar. Y, en cualquier caso, si fuera posible un control que no ralentizara estos sistemas, no obstante, existirían tablas locales vulnerables.

DNS Security se ocupa precisamente de encontrar soluciones adecuadas para alcanzar un único objetivo: proteger el servidor DNS. Se puede contrastar un DDos, por ejemplo, preparando los servidores DNS para aceptar más solicitudes de las que se reciben de media, o mediante un sistema redundante que pueda salvar el servicio. También se puede utilizar un hardware específico, como un DNS Firewall.

O bien, una empresa o un usuario final puede utilizar un filtro de contenido que actúa también sobre los DNS encontrados durante la comunicación entre un ordenador, un smartphone o una tableta y el sitio web al que quiere llegar.

4. Cómo funciona un filtro para la protección de DNS

Para proteger la navegación, tanto en casa como en la oficina, y evitar el acceso a sitios web peligrosos o inapropiados, es útil utilizar un filtro. Esta es una solución que hoy está disponible como un servicio basado en la nube que instala un pequeño agente, en la computadora o en el enrutador, que no afecta la velocidad de navegación.

Un filtro DNS le permite filtrar contenidos de Internet en función del control de los DNS de un sitio web específico. Teniendo en cuenta lo que hemos dicho hasta ahora, para proteger mejor la navegación, es mejor utilizar un filtro DNS que actúe desde la primera solicitud del usuario. Esto es así porque los controles de DNS se realizan en diferentes niveles, comenzando por el primero, el preestablecido por el proveedor de servicios de Internet dentro del enrutador del cliente.

Un filtro DNS actúa directamente sobre las direcciones IP numéricas a las que el usuario quiere acceder, verificando su conformidad con las reglas establecidas por el sistema y eventualmente bloqueando el acceso en origen. De esta forma, el filtro bloquea contenidos peligrosos como malware, ataques de ransomware e intentos de phishing, y bloquea el acceso a contenidos no deseados, como pornografía y juegos en línea.

Además, dentro de una empresa, un filtro DNS, como la solución que ofrece FlashStart, se puede instalar directamente en la puerta de enlace o en el enrutador de la empresa sin necesidad de comprar, instalar y mantener ningún hardware adicional.

A la hora de elegir el sistema de filtrado de DNS es importante tener en cuenta tres aspectos: su distribución, su latencia y la actualización continua de las tablas de control. Por distribución nos referimos al ancho del servicio: cuantas más bases de datos DNS se puedan consultar, más preciso es el filtro. FlashStart, por ejemplo, se distribuye a nivel global a través de una red Anycast de centros de datos ubicados en los diferentes continentes que permiten conexiones instantáneas.

Otro aspecto fundamental es el de la latencia: cuanto más alta es y más lenta es la navegación. El filtro DNS FlashStart garantiza una latencia cercana a cero y, por lo tanto, una navegación segura y rápida.

También la actualización continua es una característica fundamental. FlashStart utiliza una combinación de inteligencia humana y artificial para escanear constantemente la web e interceptar nuevas amenazas. Si un DNS se considera peligroso, se agrega en tiempo real a las listas disponibles en la nube para brindar a los clientes un servicio de protección constantemente actualizado. Por último, pero no menos importante, FlashStart otorga un servicio de asistencia activo 24/7 en italiano, inglés y español.


>> Si ya activó FlashStart, lea esta guía que explica cómo extender las Listas Negras para el filtrado de DNS en Internet


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Artículos relacionados