¡Espere! ¡Promoción!
Obtenga SmartyDNS por $2.7/mes!
Ahorre 66% ahora
Garantía de devolución de dinero a 30 días

Secuestro DNS (Todo lo que necesita saber)

DNS Hijacking

Más allá de lo fácil que el DNS ha hecho nuestras vidas al ayudar a resolver directamente las solicitudes de conexión entre los dispositivos conectados a la web y los sitios web, no está exento de fallas. Verá, los ciberdelincuentes pueden explotar los servidores DNS y las direcciones de muchas maneras para salirse con la suya.

En este artículo, nos centraremos en el secuestro de DNS: qué es, cómo se prueba y cómo evitarlo.

¿Qué es el DNS?

DNS significa Sistema de nombres de dominio, y es un sistema de nombres que convierte las direcciones IP en nombres de sitios web, lo que hace que la comunicación entre los dispositivos conectados a Internet y los sitios web en línea sea mucho más conveniente (básicamente, no tiene que escribir la dirección IP de un sitio web). en su navegador para acceder a ella).

¿Qué es el secuestro de DNS?

El secuestro de DNS es un método que los ciberdelincuentes utilizan para interferir con los intentos de su dispositivo de resolver una dirección IP para establecer una conexión a una URL (sitio web o página web).

Mientras un servidor DNS legítimo intenta resolver la URL para usted, los delincuentes cibernéticos aprovechan la demora para enviar una dirección IP falsa que realmente le pertenece a su dispositivo.

A veces, envían las direcciones falsas directamente, sin ningún servidor DNS genuino involucrado.

Aquí es cómo funciona el secuestro de DNS

Los criminales cibernéticos logran hacer todo lo anterior al infectar su computadora / computadora portátil / dispositivo móvil con malware (normalmente a través de esquemas de phishing).

Una vez que el malware está en su dispositivo, reemplaza el DNS de confianza predeterminado para que su navegador se comunique con el servidor DNS falso de los piratas informáticos en lugar de uno legítimo que pertenece a la ICANN (una organización responsable de registrar y administrar dominios, así como a proporcionarlos). con direcciones IP, entre otras cosas, siempre que intente resolver una URL.

Su dispositivo hace contacto con el falso servidor DNS cuando su navegador está resolviendo una URL, el falso servidor en cuestión le dará a su dispositivo la dirección IP incorrecta. Como resultado, será redirigido a un sitio web malintencionado / phishing.

A veces, los ciberdelincuentes también pueden piratear su enrutador y cambiar su configuración de DNS. En casos raros (como el secuestro de DNS de MEW), pueden incluso piratear un servidor DNS que pertenece a un ISP y cambiar las direcciones web para que los usuarios sean redirigidos automáticamente a un sitio web falso cuando buscan ciertos dominios.

Cualquiera que sea el caso, siempre ocurrirá uno de los siguientes:

  • Los sitios web de phishing imitarán un sitio web real en un intento de engañarlo para que revele información confidencial (como su Número de Seguro Social e información de tarjeta de crédito).
  • El sitio web al que originalmente pretendía acceder se reemplazará por un sitio web que lo imite o no, y que esté cubierto por anuncios que pueden ser maliciosos, por ejemplo, algunos anuncios pueden contener más malware, ransomware, spyware y / o adware.
  • El sitio web al que se le redirecciona se parece a una auténtica plataforma bancaria en línea o un procesador de pagos (como PayPal, por ejemplo) que está programado para eliminar cualquier información que ingrese (básicamente, contraseñas, nombres de cuentas y otros datos). datos).

Cualquiera que sea el caso, el resultado final suele ser el mismo si se cae en los intentos de phishing: sus cuentas bancarias se vacían, comienzan a aparecer cargos extraños en sus tarjetas de crédito y puede ser víctima de un robo de identidad (lo que es peor, podría tener sus datos personales vendidos en la web profunda).

No confunda el secuestro de DNS con el envenenamiento de DNS

Debido a que estos dos tipos de ataques funcionan de manera similar, es fácil mezclarlos.

Este es el punto principal: a diferencia del secuestro de DNS, el envenenamiento de DNS se dirige a su caché de DNS y apunta a abrumarlo con valores falsos cuyo objetivo final es redirigirlo a sitios web maliciosos o de suplantación de identidad.

Esencialmente, mientras que los servidores DNS genuinos intentan resolver las URL que solicita, los ciberdelincuentes utilizan servidores DNS falsos para bombardear su dispositivo con toneladas de direcciones IP falsas en un intento de igualar una dirección IP falsa con la URL que solicitó.

DNS Hacking

Además, en lugar de confiar en el malware para lograr sus objetivos, el envenenamiento de DNS utiliza métodos como el siguiente ejemplo:

Digamos que escribes en paypal.com. Hasta que un servidor DNS genuino pueda buscar la dirección solicitada, su dispositivo se ve bombardeado con múltiples resoluciones de los propios servidores de DNS de los ciberdelincuentes que afirman que paypal.com se puede encontrar en varias direcciones IP. Incluso si el servidor DNS original envía la resolución correcta a su dispositivo, existe la posibilidad de que se sienta abrumado y cree que una de las direcciones IP falsas que recibió fue la correcta.

El secuestro de DNS de ISP también sucede, pero es diferente

Por supuesto, solo porque no sea perjudicial para su seguridad en línea, eso no significa que el secuestro de DNS por parte de ISP no sea molesto, y es bastante intrusivo para ser honesto.

Básicamente, a algunos ISP les gusta secuestrar el tráfico de DNS de los usuarios en un intento de obtener una ganancia. Pueden hacerlo ya que controlan el servidor DNS al que se conectan sus usuarios.

Aquí hay un ejemplo: accidentalmente escribe un dominio de sitio web que no existe. En lugar de solo obtener una página de error que le indica que el sitio web no existe o que el dominio está a la venta, se le redirige a un sitio web diferente.

Entonces, ¿qué está pasando realmente?

Bueno, es probable que su ISP tenga un acuerdo de afiliado con ese sitio web o lo posea. Al redirigir a los usuarios allí, se gana dinero al exponerlos a los anuncios.

Eso no es todo: los gobiernos también pueden usar el secuestro de DNS del ISP cuando quieran censurar el contenido en línea. Esencialmente, cada vez que intente acceder a un sitio web que está en la lista negra de las autoridades, será redirigido a un sitio web «aprobado».

No es «tan malo» como el secuestro de DNS habitual, pero ciertamente no es mejor.

Cómo diagnosticar el secuestro de DNS

Algunos signos comunes de secuestro de DNS incluyen páginas web de carga lenta, anuncios emergentes que nunca ha visto antes en las páginas que frecuenta y anuncios que está acostumbrado a ver que se modifican para contener contenido malicioso o indecente.

Sin embargo, todo eso es en su mayoría conjeturas, y no ofrece una respuesta clara.

Una de las mejores formas reales de diagnosticar el secuestro de DNS es hacer ping a un dominio que no existe. Si se resuelve, hay un cambio bastante grande en su tráfico de DNS que ha sido secuestrado.

Por lo general, puede hacerlo a través de la línea de comandos / terminal de su sistema operativo, pero hay servicios en línea que lo ayudan a hacerlo:

Además, existen herramientas que puede utilizar para verificar si está lidiando con el secuestro de DNS o no. WhoIsMyDNS.com es un ejemplo. Si no reconoce el DNS que se muestra (debe pertenecer a su ISP), es posible que tenga un problema.

diagnose dns hijacking

Además de todo eso, puede usar F-Secure Router Checker para ver si es víctima de un secuestro de DNS. Pero tenga en cuenta que esta herramienta está destinada a ser utilizada para averiguar si su router ha sido explotado mediante el secuestro de DNS.

Y, por supuesto, un signo claro de secuestro de DNS por parte de un ISP es el hecho de que se le redirige a sitios web infestados de anuncios cuando accede a un dominio no existente, o de que se lo redirige desde un sitio web que su gobierno considera «problemático» a uno «aprobado «.

Cómo evitar el secuestro de DNS por parte de los ISP: Use un Smart DNS

Si bien un Smart DNS no puede ayudar realmente con el secuestro de DNS regular perpetrado por los ciberdelincuentes, puede ayudarlo a lidiar con el secuestro de DNS del ISP que puede interferir con el contenido en línea al que desea acceder.

Si no está seguro de qué es un Smart DNS, es un servicio que reemplaza el DNS asignado por su ISP (que contiene información que revela su ubicación geográfica) con una dirección DNS diferente que no pierde su ubicación geográfica real. El servicio también intercepta sus solicitudes de conexión a varios sitios web, y reemplaza cualquier información en aquellas solicitudes que pueden filtrar su ubicación geográfica con otra información que apunta a una ubicación geográfica «aprobada».

Sin embargo, debe saber que, a veces, el secuestro de DNS por parte de un ISP puede interferir con su servicio de Smart DNS, haciendo que no funcione correctamente. Hay una manera de solucionar ese problema, por suerte.

Solo necesita configurar el Smart DNS en su router (tiene que ser un router habilitado para DD-WRT que admita tablas IP). Una vez que esté configurado o si ya tiene el Smart DNS configurado en su router, solo necesita dirigir las solicitudes de DNS desde el puerto 53 al puerto 54 para evitar el secuestro de DNS del ISP.

Para hacerlo, debe agregar los siguientes comandos a su firewall IP:

  • iptables -t nat -A PREROUTING -i br0 -p udp –dport 53 -j DNAT –to 8.8.8.8:54

En el ejemplo anterior, usamos la dirección DNS pública de Google (8.8.8.8) pero puede usar una dirección DNS SmartyDNS, OpenDNS, Cloudflare o cualquier otra dirección DNS que prefiera.

En caso de que la solución no le ayude a evitar el secuestro de DNS por parte de los ISP, lo mejor es usar una VPN (lo analizamos con mayor profundidad en el número 5).

Cómo prevenir el secuestro de DNS

Según nuestra investigación, estas son las mejores cosas que puede hacer para reducir sus posibilidades de estar expuesto a la piratería de DNS:

1. Evita los intentos de phishing

Una muy buena manera de evitar el secuestro de DNS es evitar los intentos de phishing, ya que es una de las principales formas en que los ciberdelincuentes infectan sus dispositivos con malware.

Avoid Phishing Attempts

Aquí hay algunos consejos útiles:

  • No responda a ningún correo electrónico que diga ser de su gestor de pagos o banco que le solicite que envíe información confidencial (contraseñas, números de tarjetas de crédito, números de Seguro Social, etc.). Si tiene dudas, póngase en contacto con su gestor de pagos / banco para ver qué está sucediendo.
  • Del mismo modo, no responda a ningún correo electrónico no solicitado, especialmente a los correos electrónicos que le piden el tipo de información que mencionamos anteriormente. La mejor manera de lidiar con estos mensajes es eliminarlos y bloquear la dirección de correo electrónico que los envió, si es posible.
  • Si recibe un correo electrónico que cree que es un intento de suplantación de identidad, Google parte del correo electrónico entre comillas. Si obtiene algún resultado, es probable que provenga de otras personas que fueron objeto de este intento de phishing quejándose de ello.
  • No abra ningún archivo adjunto que se le pueda enviar en un correo electrónico no solicitado o sospechoso.
  • Si la dirección en el encabezado de un correo electrónico parece sospechosa, no responda a ese correo electrónico y simplemente elimínelo.
  • No haga clic en ningún enlace que parezca sombrío y que no parezca oficial (se acortan, comienzan con «http» en lugar de «https», etc.).
  • Si es redirigido a un sitio web de phishing, salga de inmediato. Si no es posible, escriba un nombre de usuario y contraseña falsos.
  • No interactúe con ningún anuncio que parezca malicioso (especialmente los que nunca ha visto antes y los que contienen contenido pornográfico o similar).
  • Use complementos / extensiones anti-phishing en su navegador si son compatibles. Stanford Web Security Research tiene una buena selección de herramientas que puede usar, y también recomendamos probar uMatrix  (una extensión que evita que los scripts se carguen en una página web sin su aprobación).
  • Asegúrese de que la Autenticación de Dos Factores esté activada para todas sus cuentas (las que la admiten, al menos).
  • No use WiFi no asegurada, ya que los cibercriminales pueden tomar o explotar fácilmente dichas redes.

Utilice un Software Antivirus/Antimalware Confiable

Incluso si hace todo lo posible por evitar el malware, siempre es una buena idea usar software antivirus / antimalware como un plan de respaldo, por si acaso. Además, algunos programas maliciosos pueden abrirse camino en su dispositivo sin que usted se dé cuenta hasta que sea demasiado tarde.

Estos son algunos de los mejores proveedores de software antivirus / antimalware del mercado:

Por cierto, debe saber que virtualmente no hay diferencia entre el software anti-malware y el software anti-virus. Ambos hacen lo mismo: un virus es, de hecho, un malware auto-replicante, después de todo.

3. Mantenga su sistema operativo y software de seguridad actualizados

Dado que el malware se libera de forma casi constante (en 2017, nuevo malware apareció cada 4.2 segundos ), es importante mantenerse al día con las actualizaciones del sistema operativo y del software de seguridad. ¿Por qué? Porque son esas actualizaciones (específicamente las actualizaciones de seguridad) las que actualizan el sistema operativo / software de seguridad para garantizar que pueda lidiar con las nuevas amenazas.

Recomendamos configurar el software de seguridad / SO para que se actualice automáticamente de forma regular. Alternativamente, debe verificar activamente las actualizaciones al menos una vez a la semana o cada dos días.

Ah, y también debe mantener actualizado el firmware de su router, ya que los piratas informáticos también pueden aprovechar las debilidades de seguridad de los routers. A propósito…

4. Proteja su router

Dado que los piratas informáticos pueden explotar las fallas de seguridad del router para exponerlo al secuestro de DNS, es mejor cambiar el nombre de usuario y la contraseña predeterminados de su router. Tenga en cuenta que no nos referimos a su contraseña de red WiFi, sino a la contraseña / nombre de usuario que le da acceso a la configuración administrativa de su router.

Protect your router

Por lo general, sólo tiene que escribir una dirección IP predeterminada (como 192.168.0.1 o 192.168.1.1, aunque puede variar, así que consulte con el fabricante) en su navegador y use la contraseña y el nombre de usuario que están escritos en su router para obtener acceso . Una vez que esté dentro, reemplace el nombre de usuario y la contraseña.

Haga que sean difíciles de adivinar, y escríbalas en un bloc de notas o agenda, o use un administrador de contraseñas (como KeePass o Bitwarden) para hacer un seguimiento de todo (o hacer ambas cosas).

No lo olvide: es muy fácil para un pirata informático encontrar la contraseña y el nombre de usuario emitidos por el fabricante para su router en Internet. Por eso es tan importante cambiarlos tan pronto como sea posible.

5. Use una Red Privada Virtual (VPN)

Una VPN es un servicio que puede utilizar para proteger su tráfico en línea en Internet mediante el cifrado . Además de eso, también puede ayudarlo a ocultar su identidad en línea y omitir los bloqueos geográficos al enmascarar su dirección IP real (lo que en realidad puede ayudarlo a evitar el secuestro de DNS del ISP).

¿Cómo le ayuda a evitar el secuestro de DNS, sin embargo?

Bueno, aquí están las formas principales:

  • Dado que una VPN encripta su tráfico, los ciberdelincuentes (o su ISP, por cierto) no pueden ver lo que está haciendo en Internet (a qué sitios web accede, qué archivos descarga, qué busca, etc.). Una VPN también encripta el tráfico de su DNS, lo que dificulta que los piratas informáticos lo apunten con redirecciones molestas.
  • Los proveedores de VPN generalmente usan sus propios servidores DNS que terminan reemplazando los servidores DNS de su ISP cuando usa el servicio. Los proveedores de VPN se aseguran de mantener búsquedas de DNS rápidas y precisas para evitar el riesgo de que su dispositivo esté expuesto a los intentos de secuestro de DNS.
  • Se puede configurar una VPN en su router para asegurar su tráfico, así como para proteger cualquier otro dispositivo en su hogar que se conecte a Internet a través de dicho router. Combine esto con el consejo que brindamos anteriormente con respecto a la seguridad del router, y es mucho menos probable que sea víctima de piratería de DNS.

Tenga en cuenta que una VPN no lo protegerá contra el malware, por lo que es fundamental que utilice una VPN junto con un software confiable anti-malware / anti-virus para una protección adicional.

¿Necesita un servicio VPN confiable?

Aquí en SmartyDNS ofrecemos servidores VPN de alta velocidad con cifrado AES de 256 bits de grado militar y protocolos VPN de alta seguridad (OpenVPN, SoftEther e IKEv2) y nos adherimos a una estricta política de no registro.

Nuestros servidores VPN funcionan como servidores proxy y también ofrecemos un servicio de DNS inteligente que le permite desbloquear Netflix, BBC iPlayer y más de 300 sitios web geo-restringidos en todo el mundo.

Ofrecemos aplicaciones VPN fáciles de usar para Windows, Mac, iPhone / iPad, Android y Fire TV / Stick y extensiones de navegador para Chrome y Firefox.

¡Trato especial! ¡Obtenga SmartyDNS por $ 2.7 / mes!

Ah, y también lo respaldaremos con nuestra garantía de devolución de dinero de 30 días.

Ahorre 66% ahora

Conclusión

El secuestro de DNS es un método utilizado por los ciberdelincuentes para cometer robo de identidad y recopilar / robar información confidencial (como detalles de cuentas bancarias, credenciales de inicio de sesión, números de tarjetas de crédito, etc.). Por lo general, implica infectar su dispositivo con malware que luego cambia su DNS. Alternativamente, los piratas informáticos podrían explotar fallas de seguridad en su router para cambiar su DNS, o podrían dirigirse directamente a los servidores DNS del ISP.

El resultado final es el mismo: se intenta engañar a su dispositivo y navegador para que accedan a sitios web maliciosos o de suplantación de identidad cuando intentan conectarse a sitios web legítimos.

La mejor manera de protegerse contra un intento de secuestro de DNS es proteger adecuadamente su router, evitar los sitios web y correos electrónicos de suplantación de identidad (phishing), usar software antimalware / antivirus, instalar actualizaciones de seguridad con regularidad y usar un servicio VPN.

Posted by on

¡Promoción!

Obtenga SmartyDNS por $2.7/mes!

Ahorre 66% ahora