El protocolo DNS (Domain Name Server) ha sido comprometido por un grupo de estudiantes del Technion de Israel. La falla que han podido encontrar permitiría a un atacante redirigir las peticiones a un sitio web falso, mientras que la víctima intenta visitar una web legítima.

Esto sería posible forzando a los servidores DNS a conectar con un servidor específico controlado por el ciberdelincuente, respondiendo con direcciones IP falsas y permitiendo redirigir las consultas a donde quiera.

La finalidad de un ataque de este tipo podría ser redirigir solicitudes de páginas web a un sitio de phishing, para posteriormente robar credenciales de la víctima. O incluso a sitios con malware alojado, para infectarla.

El descubrimiento fue resultado de una investigación realizada por los alumnos del Departamento de Ciencias de la Computación del Technion. Según han podido observar, hasta ahora no ha habido ataques que exploten esta vulnerabilidad.

¿Qué es exactamente el protocolo DNS?

Podríamos decir que es quien se encarga de convertir las direcciones web (por ejemplo www.mi-dominio.com), en direcciones de IP (por ejemplo, una red hogareña sería 192.168.0.115). Cuando se accede a mi-dominio.com, en realidad estamos accediendo al equipo con dirección IP 192.168.0.115; el DNS se encargará de resolver esta petición.

Los sitios web públicos poseen una dirección IP pública estática o privada, ya que si fuera dinámica, cambiaría constantemente; si ese fuera el caso, los servidores DNS no podrían encontrar la dirección IP del sitio web solicitado, no se actualizarían y no se podría ingresar al sitio requerido.

Como el protocolo DNS es responsable de dirigir a los usuarios al sitio que desean visitar, el impacto que tiene esta falla es severo. Es por eso que estiman que en las próximas actualizaciones de software se reemplacen los algoritmos, para corregir el problema.

Este tipo de ataque, en el que se busca engañar al servidor DNS, se ha podido observar anteriormente en redes LAN (Local Area Network), con técnicas como DNSspoof, en combinación con ARPspoof. Pero esta falla es llevada fuera de la red local, hacia la red WAN (Wide Area Network).

Después del famoso caso de Heartbleed y las vulnerabilidades encontradas en OAuth y OpenID, este caso podría representar una seria amenaza a los usuarios de Internet.

Desde el Laboratorio de Investigación de ESET Latinoamérica, les recomendamos seguir a diario las actualizaciones que vayan surgiendo, para poder corregir esta y cualquier falla lo antes posible. Y por supuesto, contar con una solución antivirus instalada y actualizada, para poder prevenir infecciones.