qué es y cómo prevenirlo en tu web

what is and how to prevent dns hijacking

¿Sabe cómo el secuestro de DNS puede dañar su marca?

Los ciberdelincuentes son conscientes de la importancia de la El sistema de nombres de dominio (DNS) es para la usabilidad de Internet. Es responsable de convertir las direcciones IP numéricas en nombres de dominio, que las personas pueden guardar y compartir fácilmente.

Los piratas informáticos también entienden que este es un protocolo confiable y que muchas organizaciones no monitorean su tráfico de DNS adecuadamente para evitar ataques maliciosos.

El secuestro de DNS funciona reemplazando la configuración TCP/IP que redirige el tráfico a un servidor no autorizado bajo el control del atacante.

En este artículo, analizamos qué es el secuestro de DNS y cómo usted, un usuario de Internet, puede proteger su sistema de este tipo de ataque. Vea abajo:

¿Qué es el secuestro de DNS?

El secuestro de DNS es una forma de intrusión de DNS que ocurre principalmente a través de ataques de phishing. Sin embargo, el sistema de la víctima también puede ser pirateado en plataformas de autoservicio (a través de proveedores de servicios de Internet) y proveedores de DNS basados ​​en enrutadores públicos.

En infraestructuras domésticas, DNS Hijacking aprovecha las vulnerabilidades del firmware del enrutadorque permite el acceso sin solicitud de contraseña.

También depende de la negligencia de los usuarios que mantener las credenciales de fábrica de los dispositivos sin cambiosinformación que los piratas informáticos pueden encontrar fácilmente para acceder posteriormente al servidor.

Estos métodos de intrusión tráfico web directo a servidores DNS no autorizados. Así, las solicitudes de los usuarios son interceptadas y el sistema es redirigido al DNS comprometido del atacante.

El navegador muestra la URL original, lo que lleva al usuario a creer que el sitio es de confianza para acceder. Mientras tanto, la información compartida en los sitios web y almacenada en la base de datos es robada y todas las actividades realizadas en la máquina son monitoreadas.

fig1 dns hijack
(Fuente:

¿Cuál es el propósito de los ciberdelincuentes?

El propósito de este tipo de ataque, además de recopilación de información personal y financiera, es agregar anuncios no autorizados en la página del usuario, convertirlos en audiencias para sitios web con anuncios o solicitar un rescate por datos secuestrados, generalmente pagados en criptomonedas. Esto dificulta que las autoridades rastreen la transacción.

El phishing, por ejemplo, dirige el acceso a una versión falsa del sitio web. En el proceso, se roba información confidencial, que puede ser utilizada a cambio de un rescate o para que el ciberdelincuente puede asumir la identidad del usuario en transacciones en línea.

Las instituciones financieras son el objetivo principal de los ataques de phishing porque el usuario engañado puede ingresar datos como su número de cuenta, nombre de usuario y contraseña en la página falsa, sin siquiera darse cuenta.

En consecuencia, el hacker se apodera de la cuenta en la página real y realiza transacciones financieras.

El secuestro de DNS no es esencial en los ataques de phishing, porque ocurren a través del acceso a enlaces manipulados. Sin embargo, cuando el DNS está dañado, un ataque de phishing puede ser aún más crítico.

Independientemente de si el usuario ingresó la URL correcta o hizo clic en un sitio web desde un widget, aún será redirigido a ese sitio web falso. Es poco probable que el acceso despierte la desconfianza de los usuarios y eso es lo que hace que el secuestro de DNS sea aún más malicioso.

A diferencia de, Los ataques de pharming no dañan al usuario.. Ocurren porque el atacante se aprovecha de la “identidad digital” de la víctima para convertirla en un audiencia para sitios web con anunciosque pagan caro a los propietarios los clics obtenidos en estos entornos.

La estafa dirige a los usuarios a un sitio web falso, lleno de anuncios. Estas páginas web no realizan ninguna función real, pero el operador genera ingresos cada vez que se visitan, incluso si la persona cierra la página inmediatamente después de abrirla.

Con el beneficio de estas operaciones, el ciberdelincuente puede financiar otras actividades delictivas.

¿Solo los ciberdelincuentes utilizan el secuestro de DNS?

A diferencia de lo que piensa la mayoría de la gente, el secuestro de DNS no es solo para prácticas de fraude en Internet. los el sistema de intrusión también puede ser utilizado por otros agentes.

Algunos gobiernos, por ejemplo, aplican la práctica para censurar Internet: reprimen a la oposición política o prohíben el acceso a contenidos específicos, como sitios con contenidos ilegales o pornográficos.

De esa forma, los usuarios que intentan acceder a este tipo de contenido son redirigidos a otras páginas y reciben un aviso de que el sitio anterior es inaccesible.

Algunos proveedores de servicios de Internet también utilizan este protocolo para mostrar mensajes de error cuando los usuarios intentan acceder a dominios que no existen. Por ejemplo, si el usuario ingresa una URL incorrecta o una que no está registrada con DNS, se muestra el mensaje de error NXDOMAIN.

Pero antes de que el usuario reciba esta respuesta, la solicitud pasa por todos los niveles de DNS para verificar la existencia de esa entrada. En ese momento, el proveedor de servicios de Internet intercepta el mensaje de error y redirige el acceso a otros entornos, como una página popular, el sitio web institucional del proveedor o páginas con anuncios, lo que aumenta los ingresos del negocio.

¿Cómo prevenir este tipo de ataques en tu sitio web?

El secuestro de DNS es una práctica muy utilizada por los ciberdelincuentes y debe prevenirse con un control más eficazque es posible a través de un estrategia de seguridad en capas. por ejemplo, un Solución de seguridad basada en DNS podría haberse utilizado para imponer una política más estricta sobre los dispositivos de infraestructura crítica y bloquear el malware una vez que se identifica la intrusión del «paciente cero».

Tal identificación temprana permitiría al equipo de respuesta a incidentes reparar los dispositivos afectados antes de que se infecten otros sistemas. Usar plataformas confiables, como escenario de rocatambién es una forma de evitar que su sitio de WordPress siendo hackeado y para inhibir a los piratas informáticos y los ciberdelincuentes.

Sin embargo, los usuarios pueden aumentar la seguridad de su infraestructura con algunas acciones:

  • cambiar la contraseña predeterminada de su enrutador y deshabilite la opción de administración remota;
  • realizar actualizaciones constantes para inhibir vulnerabilidades y fallas que no estén relacionadas con su uso;
  • actualizar el firmware del enrutador;
  • utilizar herramientas de bloqueo de ventanas emergentes;
  • haga clic en varias áreas del sitio web que desea visitar antes de escribir cualquier credencial (es raro que se recree todo el diseño de la página de phishing);
  • comprobar si la conexión es segura usando https:// antes de la URL, y si el sitio tiene certificados o protocolos de seguridad, como TLS.

El secuestro de DNS se puede usar de muchas maneras, pero todas son ilegítimas. Después de todo, el usuario no es consciente del uso de su identidad digital: la IP de su dispositivo.

Como se mencionó anteriormente, ¿le gustaría aprender más sobre WordPress? Consulte esta guía sobre cómo WordPress puede ayudar a los blogs corporativos a lograr resultados con el marketing de contenidos.

Guía WordPress para Blogs Corporativos - Banner Promocional