¿El secuestro de DNS es lo mismo que el envenenamiento de DNS?

Se superponen pero no son idénticos. Envenenamiento de DNS significa específicamente inyectar una respuesta incorrecta en el caché de un solucionador para que consultas futuras obtengan una respuesta incorrecta. Secuestro de DNS es la categoría más amplia: incluye envenenamiento, pero también cubre ataques en los que se cambia el solucionador (compromiso del enrutador, toma de control del registrador, malware que edita la configuración de DNS).

¿HTTPS me protege del secuestro de DNS?

Principalmente sí en el caso de robo de credenciales. Si el atacante redirige bank.com a su servidor, el navegador comprueba el certificado, ve que no coincide con bank.com y le avisa. Pero HTTPS not protege contra la censura basada en DNS (el sitio simplemente se vuelve inaccesible), la inyección de anuncios en sitios de texto sin formato o el malware que envía su propio certificado raíz falso.

¿Puede una VPN evitar el secuestro de DNS?

Una VPN que maneja DNS dentro del túnel elimina la red local como superficie de ataque: su enrutador, ISP y cualquier Wi-Fi hostil no pueden ver ni reescribir las consultas. No protege contra malware en su propio dispositivo ni contra un secuestro del registrador del dominio de destino. Confirme que no hay fugas con nuestra prueba de fugas DNS .

¿Por qué algunos ISP secuestran deliberadamente las respuestas de NXDOMAIN?

Dinero. Cuando escribe un dominio inexistente y el ISP devuelve su propia página de búsqueda/anuncios en lugar de un error, cada error tipográfico se convierte en una impresión de anuncio. También rompe el software que espera un NXDOMAIN real, razón por la cual la mayoría de los ingenieros de redes consideran que la práctica es hostil al usuario incluso cuando es técnicamente legal.

¿Cómo sé si mi enrutador ha sido secuestrado?

Inicie sesión en la interfaz de administración del enrutador y verifique la configuración WAN/DNS; deben ser "automáticas" (de su ISP) o un solucionador público que usted configure. Si muestran IP desconocidas, se ha tocado el enrutador. Luego actualice el firmware, cambie la contraseña de administrador y rote la contraseña de Wi-Fi para desalojar cualquier dispositivo que pueda haber provocado el compromiso.

Secuestro de DNS: cómo los atacantes redirigen su Internet y cómo detectarlo

El secuestro de DNS es el ataque silencioso que no rompe nada visible (su navegador aún carga páginas, sus aplicaciones aún se conectan), pero los destinos ya no son los que solicitó. Al corromper la búsqueda que convierte un nombre de dominio en una dirección IP, un atacante puede redirigirlo silenciosamente a páginas de phishing, inyectar anuncios o vigilar cada sitio que visite.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Cada conexión que realiza comienza con una pregunta: "¿cuál es la dirección IP para este nombre?" Su dispositivo solicita un solucionador de DNS, el solucionador responde y usted se conecta. Secuestro de DNS es cualquier ataque que subvierte esta búsqueda para que la respuesta apunte a algún lugar controlado por el atacante. Debido a que el resto de la conexión se desarrolla normalmente, el daño es invisible: la barra de URL se ve bien, la página se ve bien y solo una mirada atenta al certificado o la IP revela que algo anda mal.

Dónde puede ocurrir el secuestro

La resolución DNS afecta a varios sistemas, y cualquiera de ellos puede ser la superficie de ataque. Las variantes más comunes:

Secuestro local. El malware en su dispositivo edita la configuración de resolución del sistema operativo o el archivo de hosts, señalando nombres específicos a las IP del atacante.
Secuestro de enrutador. El atacante inicia sesión en el enrutador de su hogar u oficina (a menudo a través de una contraseña predeterminada o un CVE sin parches) y cambia el Servidor DNS enviado a cada dispositivo por DHCP. Un enrutador comprometido puede redirigir cien computadoras portátiles, teléfonos y dispositivos IoT.
Secuestro a nivel de ISP. Algunos ISP interceptan consultas DNS y reescriben respuestas NXDOMAIN ("el nombre no existe") para apuntar a una página de búsqueda/anuncios, o bloquean dominios específicos ofreciendo una respuesta diferente. Esto a veces es regulatorio, a menudo comercial y siempre es indistinguible de un ataque al usuario.
Envenenamiento del solucionador. Un atacante inyecta respuestas falsificadas en la caché de un solucionador recursivo abierto. Los usuarios posteriores de ese solucionador reciben la respuesta incorrecta hasta que caduque el caché.
Secuestro de registro. El atacante toma el control de la cuenta del dominio en un registrador y cambia los servidores de nombres autorizados, la variante más peligrosa, porque todos los solucionadores del mundo eventualmente recogerán los registros incorrectos.

Por qué DNS es tan fácil de ataque

El protocolo DNS original de 1983 no tiene autenticación. Un solucionador que recibe una respuesta verifica poco más que el ID de la transacción, que es de 16 bits, algo que se puede adivinar con suficientes intentos. No hay ningún sello criptográfico que diga "esta respuesta realmente vino de la autoridad de example.com". Es por eso que las fugas de DNS son peligrosas en redes hostiles: incluso cuando su túnel VPN está encriptado, cualquier consulta de DNS que escape del túnel puede ser respondida por cualquiera que pueda verla. DNSSEC agrega firmas criptográficas, pero la adopción es parcial y la mayoría de los clientes no validan.

Qué le permite hacer un secuestro al atacante

Una vez que te conectas a la IP de un atacante en lugar de a la real, se abren varios ataques. El atacante puede crear una página de phishing que parezca idéntica a la de su banco o proveedor de correo electrónico y recopilar credenciales. Pueden servir un proxy de intermediario que reenvía el tráfico al sitio real mientras observa todo, aunque HTTPS generalmente evita esto a menos que el usuario haga clic en una advertencia de certificado. Pueden bloquear dominios específicos (un bloqueador de anuncios lo usa para bien, un censor autoritario para mal). Y pueden inyectar descargas de malware en lugar de actualizaciones de software legítimas.

Cómo detectar que estás siendo secuestrado

Las señales suelen ser sutiles. Una advertencia de certificado donde no debería existir es la señal más fuerte: los navegadores se niegan a conectarse silenciosamente a la IP de un atacante porque el certificado TLS no coincide con el dominio. Más allá de eso, ejecute una consulta DNS en varios solucionadores y compare las respuestas:

dig @1.1.1.1 ejemplo.com
excavar @ 8.8.8.8 ejemplo.com
dig @9.9.9.9 ejemplo.com

Si dos solucionadores públicos conocidos dan respuestas diferentes, algo está siendo interceptado entre usted y uno de ellos. Nuestra prueba de fugas DNS revela qué solucionador está utilizando realmente su dispositivo: útil para detectar redireccionamientos silenciosos por parte de un enrutador o ISP.

Cómo protegerse contra el secuestro de DNS

Tres capas son las que más ayudan. Primero, cifre su DNS: DNS sobre HTTPS y DNS sobre TLS evitan que los observadores en ruta reescriban respuestas en vuelo y fija el solucionador a un proveedor conocido. En segundo lugar, cambie todas las contraseñas predeterminadas de su enrutador y parchee su firmware; Los secuestros de DNS de enrutadores son explotados masivamente por botnets como DNSChanger y GhostDNS que escanean Internet en busca de modelos vulnerables. En tercer lugar, utilice solucionadores de validación de DNSSEC como 1.1.1.1 o 9.9.9.9: cuando un dominio autorizado firma sus registros, el solucionador puede verificar matemáticamente que la respuesta no ha sido manipulada. Habilite la autenticación de dos factores, bloquee el dominio para que las transferencias requieran aprobación manual y esté atento a los cambios en el servidor de nombres. El secuestro de MyEtherWallet de 2018 y el incidente de Twitter de 2020 fueron ataques a la infraestructura de registrador/DNS, no ataques a terminales. El servicio de registro de Cloudflare publica registros en canales firmados exactamente por este motivo.

Preguntas frecuentes

¿El secuestro de DNS es lo mismo que el envenenamiento de DNS?: Se superponen pero no son idénticos. Envenenamiento de DNS significa específicamente inyectar una respuesta incorrecta en el caché de un solucionador para que consultas futuras obtengan una respuesta incorrecta. Secuestro de DNS es la categoría más amplia: incluye envenenamiento, pero también cubre ataques en los que se cambia el solucionador (compromiso del enrutador, toma de control del registrador, malware que edita la configuración de DNS).
¿HTTPS me protege del secuestro de DNS?: Principalmente sí en el caso de robo de credenciales. Si el atacante redirige bank.com a su servidor, el navegador comprueba el certificado, ve que no coincide con bank.com y le avisa. Pero HTTPS not protege contra la censura basada en DNS (el sitio simplemente se vuelve inaccesible), la inyección de anuncios en sitios de texto sin formato o el malware que envía su propio certificado raíz falso.
¿Puede una VPN evitar el secuestro de DNS?: Una VPN que maneja DNS dentro del túnel elimina la red local como superficie de ataque: su enrutador, ISP y cualquier Wi-Fi hostil no pueden ver ni reescribir las consultas. No protege contra malware en su propio dispositivo ni contra un secuestro del registrador del dominio de destino. Confirme que no hay fugas con nuestra prueba de fugas <a href="/dns-leak-test">DNS</a>.
¿Por qué algunos ISP secuestran deliberadamente las respuestas de NXDOMAIN?: Dinero. Cuando escribe un dominio inexistente y el ISP devuelve su propia página de búsqueda/anuncios en lugar de un error, cada error tipográfico se convierte en una impresión de anuncio. También rompe el software que espera un NXDOMAIN real, razón por la cual la mayoría de los ingenieros de redes consideran que la práctica es hostil al usuario incluso cuando es técnicamente legal.
¿Cómo sé si mi enrutador ha sido secuestrado?: Inicie sesión en la interfaz de administración del enrutador y verifique la configuración WAN/DNS; deben ser "automáticas" (de su ISP) o un solucionador público que usted configure. Si muestran IP desconocidas, se ha tocado el enrutador. Luego actualice el firmware, cambie la contraseña de administrador y rote la contraseña de Wi-Fi para desalojar cualquier dispositivo que pueda haber provocado el compromiso.