DNS Cache Poisoning: cómo funciona esta técnica hacking y cómo protegernos de ella

Escrito por Javier Jiménez

Son muchas las amenazas que nos podemos encontrar a la hora de navegar por Internet. Es por ello que siempre que estemos en la red debemos de tomar precauciones y evitar así un mal funcionamiento de nuestros dispositivos. En este artículo vamos a hablar de qué es el DNS Cache Poisoning, o envenenamiento de caché DNS. Vamos a explicar cómo funciona esta técnica de hacking y qué podemos hacer los usuarios para evitar ser víctima.

Qué es el DNS Cache Poisoning y cómo funciona

Para explicar correctamente qué es, primero hay que saber cómo funciona cada vez que ponemos una web en el navegador. Nosotros, los usuarios, ponemos la dirección en el navegador escrita tal y como la conocemos. Por ejemplo www.redeszone.net. Sin embargo nuestro equipo lo interpreta como una dirección IP. Esta dirección no tenemos que memorizarla, sino que simplemente ponemos la URL.

Es aquí donde entra en juego un servidor DNS. Lo que hace es reconocer dónde queremos ir y nos redirige a esa página, a esa dirección IP, solo con poner la URL. Ese servidor DNS es una base de datos enorme donde están todos los registros de las direcciones.

Pero claro, aunque sea poco, el tiempo que tarda nuestro equipo en enviar la URL a ese servidor DNS y traducirlo a dirección IP, existe. Es por ello que la caché DNS almacena esos datos y de esta forma ahorra tiempo la próxima vez que visitemos un sitio.

Conociendo esto podremos imaginar en qué consiste el DNS Cache Poisoning. Básicamente un atacante lo que hace es modificar la caché donde está almacenada la dirección IP que corresponde a una URL. Así, cuando la víctima introduce una dirección, no va realmente al sitio legítimo. En cambio le redirige a una página modificada por el atacante.

Lo que hacen los ciberdelincuentes es modificar páginas donde pueden obtener beneficio. Pongamos como ejemplo una página web de un banco conocido y que cuenta con muchos usuarios. Lo que hacen es crear una web que sea casi calcada a la original. Modifican la caché DNS del usuario y cuando entra en una dirección que es la correcta, realmente lo redirige a otra modificada. Al introducir sus datos, realmente están entregándolos a los ciberdelincuentes.

Hemos hablado de que podrían modificar la caché DNS en el equipo de la víctima. Sin embargo, aunque en este caso mucho más complejo, también podrían atacar a servidores DNS directamente.

Qué es el malware metamórfico

Cómo evitar ser víctima del DNS Cache Poisoning

Ahora bien, hemos visto el peligro de esta técnica y cómo funciona pero, ¿cómo nos protegemos de ella? Una de las bases es contar con programas y herramientas de seguridad. De esta forma evitamos la entrada de malware que pueda poner en riesgo los sistemas y, en este caso, modificar la caché DNS.

También puede ser interesante limpiar la caché DNS de vez en cuando, especialmente si sospechamos que hemos podido ser víctima. De esta forma, una vez nuestro equipo esté completamente limpio, no correremos el riesgo.

De la misma manera es importante tener siempre el equipo actualizado con los últimos parches. A veces surgen vulnerabilidades que pueden ser aprovechadas por los ciberdelincuentes para atacar. Los propios fabricantes lanzan parches de seguridad. De ahí que sea muy interesante tener siempre las últimas versiones instaladas.

Por supuesto algo que no puede faltar es el sentido común y ver bien la página que visitemos. En caso de que notemos algo raro, como puede ser que ese sitio no sea HTTPS (aunque ojo, no tiene porqué), que el aspecto no sea exactamente igual al que estamos acostumbrados o cualquier cosa, lo mejor es salir inmediatamente. Nunca hay que introducir datos en este caso.

Continúa leyendo
  • Entiendo que esto se evita con DNSSEC y DNS Over-TLS/DTLS, ¿no?

    • Victor Bayas

      Con DoH/DoT las consultas DNS viajan encriptadas entre tu dispositivo y el servidor DNS recursivo eliminando cualquier posibilidad de ser manipulada durante el camino pero hay métodos más sofisticados que usan Deep Packet Inspection (DPI) para bloquear sitios web y/o loggear tu tráfico.