| Artículos | 01 JUN 2007

Ataques DNS, proteja su acceso a la Red

Tags: Histórico
La denegación de servicio, principal consecuencia
Encarna González.
El uso extensivo de internet como medio de comunicación ha convertido a la red de redes en un centro continuo de ataques. Entre ellos, los ataques DNS (Sistema de Nombre de Dominios) están viviendo un auténtico auge en los últimos tiempos y con la denegación de los servicios de internet como principal consecuencia de estas vulnerabilidades. ¿Cómo protegerse frente a esta amenaza cada día más prolífica? En este reportaje analizamos estos ataques y ofrecemos algunas medidas para paliar las secuelas.

No cabe duda de las muchas posibilidades que hoy en día ofrece internet y prácticamente nos resulta imposible imaginar el trabajo o la vida diaria sin estar conectados a la Red. Es por ello que, conscientes de esta necesidad, los hackers han visto en los ataques DNS un filón por explotar que puede llegar a tener graves consecuencias.
En primer lugar, partiendo de que el DNS es el servicio que se encarga de “traducir” las direcciones de los servidores de internet por direcciones IP (protocolo de internet), queda patente que, sin ello, la utilización de la Red sería más difícil, ya que recordar una secuencia de números ralentiza y resta su uso por parte de los que la utilizan. Además, no hay que olvidar que el servicio de DNS también facilita la transacción de mensajes de correo electrónico por lo que, sin esta posibilidad, no sería posible que los servidores de e-mail funcionasen tal y como lo hacen hoy en día.

Variantes de los ataques DNS
No cabe duda de que las implicaciones de los servidores DNS son complejas y, por lo tanto, no lo es menos la resolución de los ataques a los mismos. De hecho, hoy en día existen múltiples ataques que se pueden realizar contra el servicio de DNS. El más común de ellos es el de denegación de servicio, también denominado DoS, y que consiste en realizar muchas peticiones a un servidor hasta que se satura su ancho de banda o capacidad y deja de funcionar el acceso a internet, los servidores web, el correo electrónico y, en definitiva, todo lo que se realice a través de la Red. Según explica Santiago Crespo, responsable de preventa de Zitralia, una particularidad de los DNS es que “están estructurados de forma jerárquica, de manera que, cuanto más alto en la pirámide se encuentre el servidor DNS atacado, mayor será el impacto creado por dicho ataque”. Para este responsable, normalmente estos ataques son “más ciber-terroristas que lucrativos”, ya que existen otras amenazas más frecuentes y dañinas a nivel económico que la de impedir el acceso a internet.
El phishing y el pharming, ambas relacionadas pero con características y finalidades diferentes, también son otras vulnerabilidades relacionadas directamente con el sistema de nombres de dominio. Así, el phishing es un ataque que busca obtener claves de acceso y de operaciones, habitualmente de cuentas bancarias, y se combina con técnicas como el spam o la suplantación de identidades de forma que los timadores crean un sitio web con un nombre o URL (el nombre de dominio) muy parecida a la original, o con direcciones IP que pueden hacer dudar al usuario. Ante la proliferación de soluciones y técnicas que frenan estos ataques, los hackers están optando por no cambiar la URL sino atacar los DNS del cliente para que piense que está conectado con el servidor que quiere, cuando en realidad se está conectando con el servidor web de los atacantes. Esta modalidad, recibe el nombre de pharming.
Para Emilio Castellote, director de marketing de producto de Panda Software, el peligro que corren las empresas con estos ataques es evidente ya que “puede llegar a comprometer la confianza que los usuarios tienen en el contenido de la Red o de las operaciones que se realizan a través de la misma porque pueden verse afectados procedimientos tan sencillos como consultar información o documentarse sobre ciertos temas o tener acceso a la banca on-line, entre otros”. Por tanto, la pérdida de conectividad va ligada a un descenso de la productividad, y a la posibilidad de que existan robos a nivel económico y de datos, así como la inhabilitación de las herramientas de trabajo.
Tal y como sostiene Eusebio Nieva, director técnico de Check Point Iberia, “desde el punto de vista del servidor, los ataques más importantes son la denegación de servicios, la falsificación y el ‘envenenamiento’ de los datos DNS y, por último, los ataque de tipo buffer overflow”. Además, este responsable destaca que otras consecuencias desde el punto de vista del cliente son que el principal problema se da en la autenticidad de los datos que ha recibido utilizando el protocolo DNS ya que, si hubieran sido falsificados, el cliente podría ser redirigido de manera engañosa hacia un servidor falso proporcionado por el atacante, por ejemplo, con el propósito de recopilar las claves de acceso a la banca on-line del usuario”.

¿Cómo detectar un ataque DNS?
Si bien los ataques a los sistemas informáticos están proliferando y evolucionando con sofisticadas técnicas que en, muchas ocasiones, los hacen imperceptibles, cuando nos encontramos ante un ataque DNS, en cierto modo, resulta fácil de detectar ya que, al producirse, perdemos la conexión a internet. Una vez que pasa esto, es necesario revisar el router, los cables de línea o abrir un parte de avería con el ISP (proveedor de servicio de internet) con el que trabajamos. Para el responsable de Zitralia, “esta última opción es la mejor para que los técnicos realicen las comprobaciones oportunas ya que también podría tratarse de una avería de la conexión del o del router, puesto que los síntomas son muy similares, aunque detectar el phishing y el pharming es tecnológicamente más complicado”.
En esta línea, Emilio Castellote, de Panda Software, apunta que si los usuarios no tienen conocimientos suficientes, las consecuencias pueden ser muy serias ya que el problema se detectará a posteriori. “Lo que diferencia a los ataques DNS frente a otro tipo de amenazas es que si los delincuentes son medianamente hábiles, pueden replicar la página web suplantada sin que se perciba, consiguiendo un sitio web con la misma dirección URL, la misma apariencia e igual funcionamiento”, comenta el responsable. Para éste, los ataques de phishing son más fáciles de descubrir ya que el usuario puede percatarse de que las URL están ligeramente modificadas. A nivel corporativo, el panorama puede ser más complicado, ya que los delincuentes podrían estar redirigiendo el correo electrónico a servidores de hackers alterando las conexiones de manejo de capital, suplantando la página web corporativa.
Al hilo de estas situaciones, Emilio Román, director general de Fortinet Iberia, propone que, para hacer frente a este tipo de ataques, “es importante que exista una cooperación con el ISP y así poder bloquear las fuentes ofensivas con mayor facilidad y eficacia”. Para este responsable, si la compañía atacada dispone de un sistema de gestión unificada de amenazas (UTM, Unified Threat Management), podrá defender los recursos de la red internos, así como proporcionar la información necesaria para poder actuar de manera conjunta con el ISP. “Una correcta configuración y actualización de firmas de la plataforma UTM permite una cobertura total ante todo tipo de amenazas”, añade Román.

Posibles consecu

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información