Qué es el ataque DNS hijacking, y cómo podemos evitarlo

Qué es el ataque DNS hijacking, y cómo podemos evitarlo

Oscar Espinosa

Hoy en día cualquier persona sabe lo que es Internet y cómo puede navegar por sitios web. Lo que muchos usuarios desconocen es que cuando introducimos una dirección web, los servidores DNS son los encargados de traducir ese nombre de dominio en la dirección IP. En RedesZone tenemos varios artículos sobre su funcionamiento muy interesantes, pero hoy os queremos hablar de uno de los ataques más frecuentes, conocidos como DNS hijacking.

Como hemos comentado en varios artículos, el sistema DNS (Domain Name System), funciona traduciendo nombres DNS en direcciones IP. Es decir, el usuario escribe la dirección del sitio web al que quiere acceder y el servidor DNS se encarga de convertirlo en la dirección IP. Cuando abrimos una página web y escribimos en la barra de direcciones el sitio web al que queremos acceder, estamos introduciendo en el navegador un nombre de dominio. El navegador, excepto que lo tenga en la memoria caché por haber accedido antes a ese sitio web, no sabrá cuál es la dirección IP del sitio web solicitado, y, entonces, enviará una solicitud de información a los servidores DNS.

Aquí es cuando entra en funcionamiento del DNS hijacking, que consiste en que la resolución de la petición de información de nuestro navegador, es resuelta por un servidor DNS que es controlado por ciberdelincuentes. Este ataque se suele realizar en conjunción con el popular ARP Spoofing, para redirigir todo el tráfico hacia el ordenador del atacante y “escuchar” y manipular toda la información que viaja a través de él.

Tenemos que tener claro cuál es el momento más crítico, y es cuando introducimos una dirección web en la barra de direcciones de nuestro navegador preferido, ya que entonces hará la solicitud de información a los servidores DNS. Esta solicitud DNS no está cifrada en ningún momento, y puede ser interceptada y modificada al vuelo, para redirigir nuestra petición web a la dirección IP que ellos quieran.

Por este motivo, han nacido protocolos para proporcionar seguridad a las solicitudes DNS y a sus respuestas, como DNS over TLS y también DNS over HTTPS. En RedesZone tenemos un completo listado de los mejores servidores DNS DoT y DoH que podemos configurar en nuestros equipos.

Secuestro del Router

Pero el problema no acaba aquí, ya que otro método que también se utiliza es secuestrar nuestro router. Recordemos que nuestro navegador web, al buscar información sobre la solicitud del sitio web, primero busca en su caché, después busca en el archivo hosts, y, finalmente, pasa la consulta a los servidores DNS que le ha indicado el usuario o el router en modo DHCP. Esto, sobre todo, puede suceder en routers donde los usuarios dejan los datos de acceso por defecto o en routers de ISP.

Una vez que un ciberdelincuente ha conseguido acceder a nuestro router, es tan sencillo como cambiar la configuración de los servidores DNS que se encuentra en la configuración del router, y que afectará a todos los equipos que se conecten al router usando el protocolo DHCP.

Una vez realizado esto, lo que sucederá es que cualquier búsqueda web, de cualquier equipo de nuestra red que use el servidor DHCP del router, estará siendo redirigido a servidores DNS controlados por los cibercriminales.

Secuestro de nuestro equipo

Si pensabas que no podían engañarte más con los servidores DNS, otro tipo de ataque muy habitual es secuestrar el equipo del usuario. Esto consiste en infectar al equipo del usuario mediante la inyección de troyanos específicos que acceden a la configuración del DNS del equipo y cambian su configuración, provocando que cualquier petición del navegador sea redirigida a donde el ciberdelincuente desee.

La detección de esto sería muy sencilla, ya que bastaría con entrar en la configuración de red de Windows (podéis entrar ejecutando el comando ncpa.cpl en el botón ejecutar del menú inicio) y ver qué servidores DNS tenemos puestos.

Rogue Hijack DNS

Otro tipo de ataque más complicado es el Rogue Hijack DNS. En este caso, este ataque no ataca nunca al usuario directamente, sino que el hacker ataca y secuestra directamente al servidor DNS. Esto realmente es muy peligroso, ya que, cualquier usuario que use el servidor DNS infectado, estará en peligro, y lo más grave de todo es que no podrá saberlo de ninguna manera.

Por suerte cuando esto ocurre, el ciberdelincuente lo que busca son unas peticiones muy concretas que le llegan al servidor DNS. También tenemos que tener en cuenta que es muy complicado que tenga éxito un ataque y secuestro de un servidor DNS, como los de Google o Cloudflare, ya que estos cumplen unos estándares y protocolos de seguridad muy altos.

En el peor de los casos, si un ciberdelincuente lograra hacerse con el control de un servidor DNS, millones de usuarios sí estarían entonces en peligro.

Los peligros del DNS infectado

Después de haber visto toda la cantidad de maneras de poder infectar un sistema DNS, toca hablar de los peligros que esto puede acarrear. Un ejemplo muy sencillo sería que la dirección IP a la que nos redirija el cibercriminal, nos lleve a un sitio web que infecte nuestro equipo con un virus, o un código malicioso o un troyano. Pero en realidad, y para que estéis mucho más tranquilos, hoy en día ya no se utiliza este tipo de ataques, sino que se recurre más al phishing o al pharming. Pero esto no quita que no sea muy importante que conozcáis cómo funcionan y en qué puede afectaros por si algún día vuelve a estar de moda entre los hackers este tipo de ataques.

  • Phishing: tenemos que saber que el phishing consiste en una réplica exacta del sitio web al que queremos acceder, y, normalmente, son sitios web como bancos, que lo que les interesa a los delincuentes es que introduzcamos las credenciales de acceso, para poder robárnosla. Esto sucede con cualquier sitio web que nos pida credenciales. Tenemos que saber que, una vez introducidas las credenciales, automáticamente, el delincuente las obtendrá y el sitio web entonces nos redirigirá al auténtico sitio web donde nos volverá a pedir las credenciales, y el usuario pensará que es un fallo del sitio web, y volverá a introducir las credenciales y accederá bien sin que el usuario sospeche que ha sido víctima de un ataque phishing.

Tenemos que saber que, un ataque phishing, se puede producir sin la necesidad de tener las DNS infectadas. Esto suele suceder, sobre todo, por hacer clic en enlaces de correos electrónicos falsos. Una manera sencilla de detectarlo es fijarnos en qué sitio web estamos realmente mirando la barra de direcciones. Sin embargo, si han secuestrado realmente el dominio al que queremos acceder, será casi imposible detectarlo.

  • Pharming: tenemos que saber que el pharming consiste en redirigir la petición del usuario a un sitio web lleno de anuncios. Esto directamente no afecta al usuario mucho, pero puede ser muy molesto. En cambio, para el delincuente, es ideal, ya que gracias a esos anuncios por cada visita está ganando dinero, y es una forma muy sencilla de que ganen mucho dinero gracias a redirigir las peticiones DNS al sitio web repleto de anuncios.

Como podemos ver, este último método sería el menos peligroso para el usuario, ya que lo único en que le afectara será que verá muchos anuncios, pero, por suerte, no le robarán ningún dato.

Otro tipo de hackeo DNS que se podría considerar, sería el que ciertos gobiernos de ciertos países hacen a sus ciudadanos, bloqueando el acceso a sitios web que el propio gobierno no considera aptos para ser visitados por sus ciudadanos. En este caso, cuando un ciudadano intenta acceder a un sitio web censurado, este normalmente es avisado del bloqueo, por eso hay usuarios que esto no lo consideran un “DNS hijacking”.

ISP

Otro tipo de DNS hijacking, es el que ocurre cuando un usuario intenta acceder a un sitio web y este no carga, mostrando un aviso de error. Esto suele ocurrir en países donde se persigue, sobre todo, la piratería, y este tipo de sitios web suelen ser bloqueados por órdenes judiciales.

El aviso que sale normalmente, es el mismo que cuando intentamos acceder a un sitio web y nos equivocamos en la dirección web y no nos carga la web. Para evitar esto existen métodos para saltarse los bloqueos DNS, como usar una VPN o simplemente cambiando las direcciones DNS que usamos. En este artículo te explicamos las mejores DNS con política de no registros que puedes usar.

Cómo podemos protegernos

Seguramente a estas alturas, te estarás preguntando cómo poder protegerte de este tipo de ataques de secuestro DNS. Al ser tan diferentes las maneras de manipular las peticiones DNS, tenemos que tomar una serie de precauciones que veremos a continuación, para mitigar lo máximo posible los diferentes ataques

  • Cambiar los datos de acceso al router: lo primero que debemos hacer es cambiar tanto el usuario como la contraseña de acceso a nuestro router, si el router no nos permite cambiar el usuario y debe ser “admin”, entonces cambiar únicamente la contraseña. Sobre todo, debemos utilizar contraseñas seguras.
  • Actualizar el firmware del router: de nada sirve cambiar los datos de acceso al router, si después resulta que tenemos el router sin actualizar, y, por lo tanto, sin solucionar diferentes problemas de seguridad que se solucionan con la actualización del firmware del router.
  • Tener un buen antivirus: en cuanto a nuestros equipos informáticos, es muy importante estar protegidos, y por ello es muy importante contar con un buen antivirus instalado en nuestro equipo, que analice los archivos y nuestra actividad en internet y en nuestra red.
  • Tener un firewall: otro punto muy importante es tener un firewall instalado y activado en nuestro equipo que vigile las conexiones entrantes y salientes de nuestro equipo.
  • Utilizar protocolos DNS seguros como DNS over TLS o DNS over HTTPS, donde todas las peticiones y respuestas se mandarán cifradas punto a punto.
  • Usar una VPN: si queremos una mayor seguridad, os recomendamos que uséis una VPN para vuestras conexiones, para que todo el tráfico esté cifrado desde el origen (nosotros) hasta el servidor VPN donde nos hayamos conectado. Esto sobre todo es importante si os conectáis a Internet desde lugares públicos, como aeropuertos, cafeterías, restaurantes etc. Gracias a este sistema, evitaremos sobre todo los ataques Man in the Middle.

Después de haber visto las diferentes maneras que existen de secuestrarnos las DNS, y ver posibles soluciones para protegernos, solo nos queda aconsejaros que la mejor manera de protegerse es no clicar en enlaces extraños, y, sobre todo, saber en qué sitios web entramos. Por último, intentad siempre navegar por sitios web que usen el protocolo HTTPS, ya que todas las conexiones estarán cifradas punto a punto.