Qué es la revinculación de DNS y cómo prevenirla

El Sistema de Nombres de Dominio (DNS) es una de las tecnologías fundamentales de Internet: en segundo plano, convierte los nombres de dominio en direcciones IP, lo que nos permite acceder fácilmente a sitios web y servicios en línea. Sin embargo, esta comodidad también conlleva una serie de riesgos de seguridad si no se gestiona adecuadamente.

Un ataque especialmente peligroso dirigido al sistema de nombres de dominio es el conocido como redireccionamiento de DNS.

En este artículo se explica qué es el redireccionamiento de DNS, por qué supone una grave amenaza para las redes locales y cómo proteger sus sistemas contra este tipo de ataques.

Comprender el sistema DNS 

Para entender cómo funciona el reenlace de DNS y cómo protegerse de él, es necesario comprender los fundamentos del sistema de nombres de dominio (DNS) y su papel en las comunicaciones por Internet.

En esencia, el DNS es un sistema jerárquico de nombres que sirve para convertir nombres de dominio comprensibles para las personas (como example.com) en direcciones IP comprensibles para las máquinas (como 93.184.216.34). Cada vez que abres un sitio web, revisas el correo electrónico o utilizas una aplicación conectada a Internet, tu dispositivo realiza una consulta DNS para averiguar dónde debe enviar la solicitud.

Cómo funciona el DNS 

Cuando se envía una consulta DNS, esta pasa por una cadena:

1. En primer lugar, se comprueba la caché DNS local. Si el registro existe y no ha caducado, se devuelve inmediatamente.
2. Si no está en la caché, la solicitud se envía a un resolutor DNS recursivo (que a menudo proporciona tu proveedor de Internet o un servicio DNS público, como Google DNS o Cloudflare).
3. El resolutor consulta a los servidores DNS de autoridad de la cadena, comenzando por los servidores DNS raíz, hasta obtener la dirección IP correcta para el dominio.

A continuación, la respuesta se devuelve al cliente y, por lo general, se almacena en caché durante un periodo determinado, denominado TTL (Time to Live).

Esta infraestructura es rápida y eficaz, pero, en esencia, se basa en la confianza. El DNS no verifica la autenticidad del origen de la respuesta, a menos que se utilicen extensiones de seguridad como DNSSEC.

¿Por qué el DNS es un objetivo frecuente para los atacantes? 

El DNS opera en un nivel bajo de la pila de Internet y a menudo pasa desapercibido durante las auditorías de seguridad. Esto ofrece a los atacantes numerosas oportunidades para manipular el tráfico, interceptar datos o infiltrarse en las redes.

Aunque el DNS se diseñó pensando en la funcionalidad y la velocidad, no se creó teniendo en cuenta los retos de seguridad actuales. Por defecto, el DNS no verifica ni la integridad ni la autenticidad de las respuestas, lo que lo hace vulnerable a la manipulación.

Dado que el DNS es un componente tan fundamental y fiable del funcionamiento de la red, los atacantes suelen aprovechar sus vulnerabilidades para interceptar el tráfico, redirigir a los usuarios o —en el caso del DNS-rebinding— inducir a los navegadores a establecer conexiones que normalmente no permitirían.

El DNS-Rebinding se distingue por atacar redes internas a través de sitios web externos y, de hecho, convierte el navegador en un proxy para atacar dispositivos locales.

Explicación de los ataques de reenlace de DNS 

El reenlace de DNS es una técnica que permite a un sitio web malicioso eludir la política de mismo origen del navegador e interactuar con direcciones IP privadas o servicios internos de la red del usuario.

Cómo funciona:

1. El usuario visita un sitio web malicioso controlado por un atacante, por ejemplo attacker-site.com.
2. El sitio web proporciona un script (normalmente JavaScript) que intenta enviar solicitudes a recursos internos, como 192.168.1.1 (el router local).
3. Normalmente, el navegador bloquea esto gracias a la política Same-Origin, que no permite que los scripts de un dominio accedan al contenido de otro.
4. Sin embargo, el atacante utiliza un redireccionamiento de DNS para engañar al navegador. El servidor DNS de  attacker-site.com se resuelve inicialmente a una dirección IP pública que aloja el contenido web del atacante. Tras la carga del script, el servidor DNS del atacante modifica el registro A para que apunte a una dirección IP privada, por ejemplo 127.0.0.1 o a un dispositivo de la red local. Si el navegador no comprueba los límites de origen adecuadamente, permite que el script envíe solicitudes al sistema interno, ya que cree que sigue comunicándose con   attacker-site.com .

Esto puede proporcionar a los atacantes acceso a paneles de administración de routers, configuraciones de impresoras, dispositivos del Internet de las cosas o incluso API internas que no están destinadas al acceso público.

Métodos probados para prevenir el reenlace de DNS 

El reenlace de DNS se puede contener eficazmente mediante una combinación de medidas de protección del lado del cliente, configuraciones de red y el refuerzo de la seguridad de las aplicaciones.

Protección basada en el navegador

Los navegadores modernos cuentan con varios mecanismos de protección integrados, como el bloqueo del acceso a localhost o la aplicación de verificaciones de origen más estrictas. Sin embargo, varían según el navegador y no siempre son totalmente seguras.

Los usuarios deben mantener sus navegadores actualizados, evitar visitar sitios web poco fiables y utilizar extensiones o configuraciones del navegador que restrinjan JavaScript o los dominios de terceros

Filtrado de DNS y protección contra el rebinding

Algunos resolutores de DNS ofrecen protección contra el rebinding, bloqueando las respuestas de DNS que convierten dominios externos en direcciones IP internas. Entre ellos se encuentran OpenDNS (Cisco Umbrella), NextDNS y Pi-hole (con configuraciones definidas por el usuario).

Protección de servidores web y aplicaciones

Los servicios internos nunca deben basarse exclusivamente en nombres de host. Las aplicaciones web y las API locales deben verificar el encabezado Host y realizar la autenticación incluso para las solicitudes locales.

Otras medidas:

• Vinculación de los servicios internos a localhost o a interfaces estrictamente internas
• Autenticación obligatoria para interfaces de gestión de routers o IoT
• Uso de puertos no estándar (no sustituye a la seguridad, pero reduce el riesgo)

Configuración del cortafuegos de red y del router

Estas medidas garantizan:

• Bloqueo de las consultas DNS salientes, salvo las que se realizan a través de un resolutor de confianza
• Evitar que los dispositivos internos reconozcan nombres de host externos o respondan a ellos
• El uso de VLAN para aislar los dispositivos sensibles del tráfico general de los usuarios

Desactivación o restricción de la ejecución de JavaScript

En sistemas con un alto nivel de seguridad, puede bloquear JavaScript o permitirlo solo desde dominios de confianza. Esto impide por completo la ejecución de scripts maliciosos.