Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.
El sistema de nombres de dominio (DNS) es un componente fundamental de Internet. El DNS traduce nombres de dominio legibles por humanos, como www.ejemplo.com, a direcciones de protocolo de Internet (IP) legibles por máquinas, como 168.192.123.145. El DNS permite a los usuarios acceder a sitios web utilizando nombres conocidos en lugar de largas cadenas de números.
A pesar de su enorme importancia, la infraestructura de DNS no se diseñó inicialmente para hacer frente a los numerosos tipos de ciberamenazas que utilizan los hackers para obtener acceso a los sistemas de TI o interrumpir sus operaciones. La seguridad de DNS es la tarea de implementar medidas y protocolos de seguridad para mitigar las vulnerabilidades en el sistema de nombres de dominio.
Conceptos básicos del sistema de nombres de dominio
El protocolo DNS se suele conocer como la "guía telefónica de Internet", porque asigna el nombre de un sitio web (el nombre de dominio) a una cadena de números (la dirección IP), lo que permite a los ordenadores encontrar rápidamente la dirección correcta del sitio web.
El nombre y la dirección IP de cada sitio web se encuentran en manos de un servidor de nombres autoritativo en algún lugar del mundo. Para acelerar la conectividad y evitar la congestión en los servidores autoritativos, el sistema DNS también utiliza servidores DNS recursivos, o componentes de resolución DNS, que normalmente proporcionan los proveedores de servicios de Internet (ISP). Cuando un usuario escribe el nombre del sitio web en un navegador, el dispositivo del usuario se pone en contacto en primer lugar con un servidor DNS recursivo cercano para solicitar la dirección IP del sitio web.
Dado que los servidores DNS recursivos mantienen una caché de direcciones IP para muchos sitios web de uso frecuente, a menudo pueden responder a las consultas de DNS proporcionando la dirección correcta al instante. Si el servidor recursivo no tiene una dirección actual, se pondrá en contacto con otros servidores DNS recursivos o, en última instancia, se pondrá en contacto con el servidor de nombres autoritativo para obtener un registro DNS preciso. Esto suele ocurrir muy rápido, por lo que la mayoría de los usuarios no son conscientes del proceso del DNS.
Sin embargo, el DNS es susceptible de sufrir muchas ciberamenazas que pueden interrumpir las respuestas de DNS y provocar que los servidores se bloqueen o ralenticen, lo que se traduce en unos tiempos de carga lentos de las páginas o en la imposibilidad de acceder a los sitios de Internet.
Principales amenazas a la seguridad del DNS
Entre las amenazas de seguridad de DNS comunes se incluyen las siguientes:
- Ataques DDoS y ataques de inundación: los ataques distribuidos de denegación de servicio (DDoS) provocan que los servidores DNS se ralenticen o se bloqueen, ya que los sobrecargan con una cantidad abrumadora de solicitudes de registros DNS. Los ataques DDoS de DNS suelen utilizar una botnet, es decir, una red de equipos infectados por malware que pueden ser controlados por atacantes y que dirigen grandes cantidades de tráfico a los servidores DNS.
- Ataques DDoS NXDOMAIN: este enfoque satura los servidores DNS solicitando registros inexistentes o no válidos, lo que sobrecarga el sistema y provoca que los servidores DNS y la infraestructura de apoyo se ralenticen o se bloqueen.
- Túneles DNS: dado que el DNS es un protocolo de comunicaciones de confianza, muchos entornos de TI permiten que el tráfico de DNS entre y salga de su red libremente. Los atacantes aprovechan esta confianza utilizando el DNS como canal de comunicación encubierto para evadir la detección mediante firewalls. Los túneles DNS permiten a los ciberdelincuentes exfiltrar datos confidenciales de un entorno de TI o comunicarse y controlar un dispositivo afectado dentro de un sistema de TI.
- Suplantación de DNS o envenenamiento de caché de DNS: este tipo de amenaza de seguridad para el DNS introduce datos de DNS falsificados en la caché de un dispositivo de resolución de DNS, lo que provoca que el servidor DNS devuelva una dirección IP incorrecta para un dominio. Esta técnica se utiliza normalmente para distribuir malware y ransomware o para robar credenciales de inicio de sesión.
- Secuestro de DNS: esta técnica permite a los ciberdelincuentes utilizar un servidor DNS comprometido o malicioso para enviar a los usuarios a un dominio falso y malicioso en lugar de a la dirección que buscan.
- Bloqueo de dominio: los atacantes pueden "bloquear" un componente de resolución de DNS estableciendo una conexión basada en TCP con el servidor y consumiendo todo su ancho de banda mediante el envío continuo de paquetes no deseados o aleatorios. Así se evita que el servidor responda a solicitudes legítimas.
Por qué es esencial la seguridad de DNS
La seguridad de DNS es una parte fundamental de un programa de ciberseguridad integral. Dado que el DNS es una parte integral de Internet, no proporcionar seguridad de DNS puede dar lugar a una amplia variedad de ciberataques, desde filtraciones de datos y muchos tipos de ransomware hasta ataques DDoS masivos que interrumpen la actividad empresarial y amenazan la rentabilidad. A medida que los entornos de TI se vuelven más distribuidos y millones de dispositivos del IoT amplían la superficie de ataque más allá del perímetro de red tradicional, la seguridad de DNS se ha vuelto más importante que nunca. Una seguridad de DNS superior permite a las organizaciones protegerse de la pérdida de datos, las amenazas a la privacidad y las interrupciones de la actividad empresarial.
Cómo funciona la seguridad de DNS
Las soluciones de seguridad de DNS proporcionan varias líneas de defensa para proteger las operaciones de DNS. Las soluciones de seguridad de DNS avanzadas utilizan el aprendizaje automático, la IA y los protocolos de seguridad mejorados para detectar y mitigar las amenazas en tiempo real. La tecnología de seguridad de DNS superior se basa en inteligencia avanzada contra amenazas que detecta automáticamente anomalías en el tráfico de DNS, automatiza la respuesta a incidentes e integra con otros sistemas de seguridad de red.
Prácticas recomendadas de seguridad de DNS
Para mejorar la seguridad de DNS, las organizaciones y los equipos de TI pueden adoptar diferentes prácticas clave.
- Extensiones de seguridad de DNS (DNSSEC): este protocolo añade una capa de seguridad al sistema DNS facilitando la verificación de la autenticidad de las respuestas. El protocolo de extensiones de seguridad del sistema de nombres de dominio evita que los atacantes manipulen o envenenen datos de DNS mediante el uso de firmas digitales para garantizar que los registros de DNS devueltos en una búsqueda sean precisos y no se hayan modificado de forma maliciosa.
- Filtrado de DNS: esta tecnología detecta y bloquea las solicitudes de DNS de sitios web no deseados o maliciosos para reducir el riesgo de infecciones de malware y exfiltraciones de datos.
- Firewalls de DNS: los firewalls de DNS pueden bloquear las solicitudes a dominios que se sabe que son maliciosos y proporcionar capacidades de limitación de velocidad que bloquean los ataques DDoS o de amplificación.
- Servidores DNS seguros: los servidores DNS que admiten DNS a través de TLS (DOT) o DNS a través de HTTPS (DoH) permiten cifrar el tráfico de DNS, lo que evita que los atacantes manipulen o espíen el tráfico DNS.
- Actualizaciones periódicas: la actualización periódica de los servidores DNS y la aplicación de parches de seguridad pueden ayudar a proteger contra vulnerabilidades conocidas y amenazas a la seguridad de DNS.
- Concienciación sobre seguridad: formar a los usuarios finales sobre los tipos de amenazas que pueden encontrar, sobre todo los mensajes de phishing, puede reducir significativamente la incidencia de ataques exitosos.
- Mayor capacidad: para superar los ataques DDoS al DNS, las organizaciones pueden añadir capacidad adicional, estableciendo varios servidores de DNS redundantes que puedan gestionar las solicitudes cuando un servidor experimenta un ataque.
Preguntas frecuentes
La mayoría de las amenazas de DNS corresponden a uno de los cuatro vectores de ataque. Los ataques volumétricos inundan los servidores DNS con un gran número de solicitudes, lo que hace que se ralenticen o se bloqueen. Los ataques de uso indebido de protocolos utilizan DNS de formas no deseadas para exfiltrar datos o realizar campañas de phishing. Los ataques DNS sigilosos o de goteo degradan o interrumpen el servicio al comunicar un goteo constante de solicitudes específicas que agotan la capacidad del servidor DNS. Los ataques a vulnerabilidades aprovechan los defectos de los servicios DNS, protocolos o sistemas operativos.
La exfiltración de datos de DNS es una técnica que permite a los hackers robar datos de un sistema de TI incrustándolos en paquetes DNS. Dado que las comunicaciones DNS suelen ser de confianza y no están filtradas por los servicios de seguridad y los firewalls, es poco probable que los datos ocultos en el tráfico de DNS activen alertas de seguridad.