ICANN pide DNSSEC para combatir el secuestro de DNS

ActualidadDNS

El Sistema de Nombres de Dominio (DNS por sus siglas en inglés), sin el cual la red solo sería una masa de números de red sin nombres fáciles de recordad como ejemplo.net o news.sophos.com, se encuentra bajo amenaza de ataques por lo que el supervisor de dominios ICANN quiere que las empresas de internet hagan algo al respecto.

Ese fue el mensaje que la semana pasada emitió la ICANN (Internet Corporation for Assigned Names and Numbers) en una preocupante nota de prensa. Esta llega justo después de avisos similares por parte del Departamento de Seguridad Nacional de EEUU (DHS), lanzados tras una serie de ataques DNS. Estos ataques tratan de hacerse con el correo electrónico y los dominios web, dirigiendo el tráfico a servidores impostores.

La solución, según la ICANN, es que la empresas que ofrezcan infraestructura DNS, implementen un nivel de seguridad DNS adicional llamado DNSSEC (Domain Name System Security Extensions) tan pronto como sea posible.

Casi 20 años después de que se propusiera por primera vez DNSSEC, su desarrollo se ha realizado muy lentamente y muchas empresas de internet han decidido ignorarlo.

Según los registros del APNIC, solo alrededor de un 20% de los servidores DNS muestran algún signo de utilizarlo.

Ahora parece que al fin se está convirtiendo en un tema urgente.

En noviembre, Talos de Cisco informó sobre una gran ciber-campaña contra el Líbano y los EAU en el centro de la cual estaba una campaña de secuestro de trafico DNS tan sofisticada que no solo era capaz de redireccionar el tráfico sino también de comprometer los certificados SSL y los túneles VPN.

Desde entonces se han documentado campañas similares que señalan el ataque exitoso a las infraestructuras DNS de docenas de organizaciones en al menos 11 países, incluidos Suecia y EEUU.

Al utilizar DNSSEC, la búsqueda de nombres y actualizaciones se verifica con firmas criptográficas, lo que convierte en un sistema más complejo que el propio DNS por lo que consume más tiempo.

La complejidad añadida al gestionar la infraestructura de clave pública (PKI) que se necesita para que funcione el DNSSEC significa mayores costes que los ISP prefieren no asumir para un sistema que tampoco añade mucha más seguridad.

Por otra parte, seguir las complicadas comprobaciones manuales que el ICANN y otros recomiendan para mejorar la seguridad DNS si no se usa DNSSEC pueden ser incluso peores.

¿Qué hacer?

Tanto si utilizas DNSSEC o no, repetiremos el aviso de seguridad emitido recientemente por el DHS:

  • Verifica que todos los dominios principales están resolviendo correctamente la dirección IP y que no han sido manipulados.
  • Cambia las contraseñas en todas las cuentas usadas para gestionar dominios.
  • Activa la autenticación de múltiple factor para las cuentas de administradores.
  • Vigila los registros de Certificados de Transparencia para los nuevos certificados TLS que pueden haber sido emitidos por un actor fraudulento.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Your email address will not be published.