La NSA recomienda evitar DNS de terceros

La NSA recomienda evitar DNS de terceros

Javier Jiménez

Los DNS son necesarios para poder navegar por Internet. Actúan como traductores, por decirlo de alguna manera. Básicamente permiten que pongamos un dominio en el navegador, por ejemplo redeszone.net, y lo vincule a su dirección IP correspondiente. Para ello utiliza una base de datos, una guía donde aparecen todas las páginas. En este artículo nos hacemos eco de una recomendación de la NSA para evitar usar solucionadores de DNS de terceros.

La NSA recomienda no usar DNS de terceros

Podemos utilizar diferentes servidores DNS para nuestra navegación. Podemos tener los de la operadora, así como muchos públicos que hay en la red, como los de Google o CloudFlare. Algunos son gratuitos y otros de pago. En ocasiones podemos incluso mejorar la seguridad y privacidad al optar por unos u otros.

Sin embargo, la NSA ha lanzado ahora una recomendación donde indica que las empresas deben evitar utilizar solucionadores DNS de terceros con el fin de bloquear los intentos de ataques y manipulación. El objetivo de este consejo es reducir la intrusión del tráfico de DNS y bloquear el acceso a la información de la red interna.

Concretamente indican que “desde la NSA se recomienda que el tráfico de DNS de una red empresarial, cifrado o no, se envíe únicamente al sistema de resolución de DNS empresarial designado”. Asegura que eso garantiza el uso adecuado de los controles de seguridad empresariales esenciales, facilita el acceso a los recursos de la red local y protege la información de la red interna.

Actualización de DNS falsa

Servidores DNS operados por la empresa

Sugieren a las empresas que utilicen sus propios servidores DNS operados por la propia empresa, así como servicios alojados externamente con soporte integrado para solicitudes DNS cifradas, como DoH.

Ahora bien, la NSA añade que si el sistema de resolución de DNS empresarial no es compatible con DoH, el sistema de resolución debe seguir utilizándose y todos los DNS cifrados deberían desactivarse y bloquearse hasta que las capacidades de DNS cifradas se puedan integrar completamente en la infraestructura de DNS empresarial.

En este sentido, la NSA insta a los administradores de redes empresariales a deshabilitar y bloquear todos los demás servicios de DNS más allá de los dedicados de sus organizaciones.

También recomiendan a los administradores de red que deshabiliten DoH en sus redes que bloqueen «direcciones IP y dominios de resolución de DoH conocidos» para evitar que los intentos de los clientes utilicen sus propios solucionadores de DoH en lugar del solucionador de DNS asignado por DHCP.

En definitiva, la NSA recomienda que las empresas y organizaciones se tomen en serio la importancia de los DNS que utilicen. El objetivo es mantener siempre la privacidad y seguridad. Es esencial evitar ataques que puedan interferir en el buen funcionamiento de una empresa o exponer datos que puedan ser confidenciales.

En otro artículo vimos los tipos de ataques a servidores DNS. Es un problema que puede estar muy presente en la red. De ahí la importancia de siempre mantener protegidos nuestros dispositivos y reducir el impacto que pueda tener el malware y los atacantes en nuestra red.