Averigua si tu router fue afectado con DNS Hacking.

DNS Hacking

¿Qué es el DNS Hijacking?

El DNS Hijacking es un tipo de ataque informático, otra forma en que se conoce este tipo de ataque es redirección o secuestro de DNS, donde el atacante altera los servidores DNS con el objetivo de que las consultas de resolución de nombres de dominio se resuelvan incorrectamente y redirijan a todos los usuarios a sitios maliciosos.

Así que cuando el usuario a través de su dispositivo, cualquiera que este sea, consulta un dominio afectado por DNS Hacking “ejemplo.com”, el DNS malicioso responde redireccionándolo con la dirección IP de un sitio fraudulento, diferente al original, así logrando redireccionar la conexión de la víctima.

Cómo alterar los DNS: tipos de ataque

Un DNS puede ser atacado de diferentes formas, por ejemplo: infectando a la víctima con un código malicioso, tomando el control del router de una red o interceptando la comunicación DNS.
De esta manera, vemos que existen tres tipos de ataques para poder redireccionar un DNS.

DNS Hijack local

Dicho ataque implica al dispositivo de la víctima y cambia la configuración local del DNS.

Router DNS Hijack

El atacante toma el control del router de la víctima (esto se puede lograr de dos formas: por una mala configuración o por vulnerabilidad en el router) y cambia la configuración DNS del equipo, de esta manera todos los usuarios que resuelvan dicha dirección serán afectados.

MitM DNS attack

El atacante intercepta la transmisión que existe entre el usuario y el servidor DNS legítimo, y cambia la respuesta del servidor con una IP de destino falsa que apunta a un sitio malicioso.

Al final de cuentas, el objetivo buscado en este tipo de ataques es redireccionar a la víctima a sitios fraudulentos, que muchos de ellos son de Phishing, y así conseguir usuarios, contraseñas, tarjetas de crédito y todo tipo de información confidencial. Este tipo de ataques también se usa para redireccionar al usuario a sitios publicitarios o mostrar adware, lo que le genera al atacante una ganancia económica.

¿Y al final como se si soy víctima de DNS Hijack?

Hemos visto que dicho ataque se basa en cambiar el DNS para redireccionar las consultas de nombres de dominio a un servidor malicioso, bien pues lo primero que podemos hacer es ver qué servidores están resolviendo nuestras consultas. Una forma es revisar la configuración de red local de nuestro equipo, muchas de las ocasiones, esto proporciona poca información o simplemente descartamos casos de Hijack local.

Veamos un ejemplo claro:

Veamos la configuración IP de un equipo Windows (utilizando el comando ipconfig/all). Acá es importante diferenciar lo que es el Sufijo DNS con los servidores DNS, siendo que son estos últimos los que recibirán las consultas de nombres y nos devolverán la IP. Por el contrario, el sufijo DNS solo es utilizado en redes locales cuando realizamos la consulta por un nombre de equipo sin especificar un dominio. Es decir, en este caso, si consultara por la IP del equipo “prueba1” sin aclarar ningún dominio, el dispositivo automáticamente entenderá que estoy buscando la IP de “prueba1.ejemplo.net”.

El hecho de que el router o la configuración tenga un Sufijo DNS diferente al que esperamos no significa que estamos siendo víctimas de un ataque, sino que simplemente no se sobrescribió esa configuración en el router.

En la configuración local del equipo pocas veces veremos cuál es el servidor DNS público que está resolviendo nuestras consultas, ya que normalmente la IP que asigna la mayoría de los DHCP de routers hogareños es la del propio router.

Pues bien, para checar si nuestros paquetes DNS están siendo respondidos por una fuente confiable, el mejor método para saberlo es hacer una consulta pública y verificar qué servidores son los que la están resolviendo. Para esto, lo que podemos hacer es utilizar sitios de verificación de DNS, similares a los que utilizamos para averiguar nuestra IP Pública. Algunos que pueden utilizar son:

DNS Leak Test: Servicio que permite detectar los servidores DNS que están respondiendo tus consultas. Es recomendable realizar la prueba extendida, la cual permite descubrir todos los servidores DNS por los que está pasando tu consulta.

What’s my DNS Server: Con un solo clic permite saber cuál es el servidor DNS que está resolviendo las consultas, así como también si el mismo es confiable o está denunciado como fraudulento.

¿Como podemos protegernos?

Lo primero que tenemos que hacer es asegurar la red, y para ello es necesario contar con un router seguro, correctamente configurado y actualizado.

Como regla general, lo ideal es siempre tener el control del router de nuestra red y así poder asegurarnos de que esté configurado de forma segura. El problema se presenta muchas veces con los equipos del proveedor de Internet, ya que muchos ISP no le entregan al usuario la administración del router o el modem que proveen. Si esto te ocurre a ti, tienes dos opciones, pero para ambas deberás conseguir un router propio.

La primera opción, y lo más ideal, es pedirle a tu proveedor de Internet que configure tu router en modo bridge. O sea, que el router del proveedor le asigne a tu router directamente la IP pública que utilizará para navegar por Internet. Posteriormente, configuras tu router para que tome IP WAN de manera dinámica y sobreescribes los DNS con algunos que sean de tu confianza.

La segunda opción, en caso de que la configuración anterior no sea fiable, es configurar una nueva red LAN con tu propio router. En este caso tu router tendrá dos IPs privadas, la IP de LAN a la que se conectaran tus equipos, y otra IP privada que utilizará en el puerto WAN para comunicarse con el router del ISP. En este caso es muy importante deshabilitar la función WiFi del router del proveedor y configurar el DHCP en nuestro propio equipo con DNS de confianza.

Una vez que se cuanta con el propio equipo instalado, no olvides repasar algunos de nuestros consejos para asegurarte de que este correctamente configurado y asegurado.

Para finalizar, recuerdomes que siempre debemos usar una medida de seguridad en todos tus dispositivos y mantenerla actualizada. Un antivirus no solo evitará que el equipo sea infectado por un código malicioso que pudiera alterar los DNS, sino también detectará conexiones que han sido redireccionadas a sitios fraudulentos.

Fuentes:

Articulos relacionados:
El próximo jueves 11 de octubre, las claves criptográficas encargadas de proteger las direcciones de
Primeramente, para poder entender el porqué de la lentitud de los navegadores o de la
El traje de jet volador al estilo Iron Man de Gravity Industries acaba de recibir
Esos robots de seguridad de Knightscope pueden no ser tan buenos en su trabajo. Cuando
Cloudfare, Google Chrome y Mozilla Firefox han añadido soporte para la próxima iteración del protocolo
HandBrake es un conversor de vídeo multiformato, aplicación que podemos instalar tanto en Windows, Mac y
Hay muchas cosas que puedes hacer para aumentar el rendimiento de la batería de tu
Audi reveló recientemente su concepto Quattro libre de emisiones que viene con drones en lugar
Canal en Telegram de Azul Web

Te recomendamos seguirnos en nuestras redes para estar al tanto de noticias, cursos gratuitos y memes: Clic aquí para seguirnos en Facebook | Clic aquí para seguirnos en Instagram | Clic aquí para seguirnos en YouTube.

Descargar este artículo en PDF

Lo sentimos, esta opción solo está disponible para los socios. Más información de nuestro grupo de socios.

Ernesto Mota on EmailErnesto Mota on FacebookErnesto Mota on LinkedinErnesto Mota on Twitter
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Déjanos un comentario:

Deja un comentario

LO MAS HOT DE AZUL WEB