El sistema de nombres de dominio (DNS) se hizo famoso desde cuando se asumía la confianza y la estandarización, y la seguridad no era más que una idea de último momento. Dado que al inicio de Internet el grupo de usuarios era tan pequeño, la importancia del DNS como servicio central fue generalmente mal entendida y, como resultado, quedó un tanto desprotegida.
El día de hoy podrá verse el resultado de esta ingenuidad inicial: un sistema DNS tenso, que invita a los criminales cibernéticos, entre otras cosas, a lanzar ataques tales como aquellos ya bien conocidos como los disruptivos de denegación de servicio (DDoS). Con actores males intencionados que encuentran formas innovadoras para eliminar el DNS el panorama se torna cada vez más complejo, las apuestas son altas, pero siempre hay que tener en cuenta que sencillamente: si no hay DNS en funcionamiento, no hay visibilidad de un sitio web.
Pasado y presente
Afortunadamente, hay muchas personas capacitadas y dedicadas alrededor del mundo que hacen su trabajo para garantizar que el protocolo funcione para todos, lo que permite el funcionamiento apropiado del DNS.
A lo largo de los años, este protocolo ha crecido en sofisticación y se han implementado muchas soluciones alternativas para garantizar que el DNS pueda continuar funcionando como parte de un Internet en rápido crecimiento. Sin embargo, animar a los operadores de servidores, desarrolladores de aplicaciones y proveedores de infraestructura de red a actualizarse puede ser un proceso lento.
Las soluciones alternativas para admitir implementaciones heredadas y violaciones de protocolo están ralentizando el rendimiento del DNS para todos. Para resolver estos problemas, los proveedores del software de DNS, así como los grandes proveedores públicos de DNS, eliminarán ciertas soluciones alternativas el 1 de febrero de 2019, también conocido como” DNS Flag Day” o Día de la Bandera del DNS.
Ondeando la bandera del DNS
El Día de la Bandera del DNS pondrá fin al soporte masivo de muchas soluciones alternativas. Este cambio, que afectará a los sitios que operan software que no siguen los últimos estándares publicados, significa que la tecnología de los proveedores del DNS interpretará los tiempos de espera del dominio como una señal de un problema de red o del servidor, en lugar de tratar de apoyar las implementaciones antiguas. Es algo así como usar una versión antigua de Internet Explorer que los sitios web tienen que seguir apoyando, y luego decidir colectivamente que en un día en particular esas versiones antiguas de Explorer simplemente ya no serán compatibles.
En pocas palabras, a partir del 1 de febrero, las organizaciones que utilizan servidores DNS no conformes se quedarán con sitios web que son inalcanzables para muchos usuarios debido a que el servidor DNS que proporciona la dirección de la página web será marcado como inalcanzable. En muchos otros casos, los dominios afectados funcionarán, pero no podrán admitir las características de seguridad más recientes y se convertirán en un objetivo más fácil para los atacantes de red.
Prueba de dominio (hágalo usted mismo)
Como dice el viejo adagio de seguridad, solo eres tan fuerte como tu eslabón más débil. Según Gonzalo Romero, Director de Seguridad de la Información de .CO Internet, el Administrador del dominio nacional de .CO de Colombia, deberá prepararse para el Día de la Bandera del DNS “lo primero que deben hacer las organizaciones es eliminar cualquier vínculo débil al probar directamente su dominio actual y sus servidores DNS». Esto se puede hacer utilizando el probador de cumplimiento del mecanismo de extensión , que luego proporcionará a las empresas un informe técnico detallado que resume una prueba fallida, parcialmente fallida o exitosa. “Las fallas en estas pruebas son causadas por un software DNS estropeado o una configuración de firewall dañada”, dice Romero, “que puede remediarse actualizando el software DNS a la última versión estable y volviendo a probar. Si las pruebas aún fallan, las organizaciones deberán examinar más la configuración de sus cortafuegos”.
El eslabón más débil
Con una nueva ola de dominios potencialmente débiles que se extienden por Internet, hay una oportunidad aún mayor para que los delincuentes cibernéticos tomen ventaja de la gran cantidad de servidores DNS vulnerables a través de numerosos tipos de ataques DDoS.
La amplificación del DNS es solo uno de estos, con los atacantes utilizando el DNS para responder a cualquier consulta de búsqueda menor con una IP falsificada del objetivo. Luego, el objetivo recibe respuestas del DNS mucho más grandes que rápidamente superan su capacidad, con el objetivo de bloquear consultas legítimas del DNS y agotar la red de una organización.
Otro tipo común de ataque es la inundación del DNS, que se dirige a los servidores DNS que alojan sitios web específicos. Estos intentan agotar los activos del lado del servidor (por ejemplo, la memoria o la CPU), con un aluvión de solicitudes UDP, generadas por la ejecución de scripts en computadores de red infectados con software malicioso.
También podemos esperar más ataques de Capa 7 (capa de aplicación), incluidos aquellos dirigidos a servicios DNS con solicitudes HTTP y HTTPS. Estos ataques a menudo están diseñados para apuntar a las aplicaciones de una manera que imita las solicitudes reales, lo que hace que sean particularmente difíciles de detectar.
¿Qué viene?
Los actores maliciosos en línea de hoy pueden enfocarse en los resultados que desean y, en muchos casos, utilizar el DNS para lograrlo. Combinado con prioridades mal ubicadas y la suposición de que una variedad de problemas se puede tratar con solo uno o dos tipos de tecnología, el panorama de amenazas globales se ampliará.
Si bien todavía hay mucho trabajo por hacer, el Día de la Bandera del DNS es sin duda un paso positivo en la dirección correcta. Según Nicolai Bezsonoff, vicepresidente de Neustar, Inc., una empresa de seguridad cibernética líder en el mundo y la empresa matriz de .CO Internet, el administrador del dominio nacional .CO de Colombia, “los servidores DNS están en la línea frontal de los ataques cibernéticos. Como tal, nunca ha sido más importante para los gobiernos y las empresas comprender el papel fundamental que desempeña el DNS en la infraestructura de Internet más amplia y ser más agresivos con su enfoque de la seguridad».
Neustar es el segundo proveedor de DNS denle el mundo, manejando más de un trillón de consultas de DNS por mes; también opera la red de mitigación DDoS más grande, con más de 10Tbps de capacidad de mitigación. En octubre de 2016, muchas grandes compañías de Internet con sede en Estados Unidos fueron afectadas debido a un ataque masivo DDoS en Dyn, un gran proveedor de DNS. Según Bezsonoff, «ese fue el día en que muchos directores ejecutivos de todo el mundo literalmente se despertaron y comprendieron la importancia del DNS por primera vez, ya que sus sitios web cayeron». Desde entonces, muchas de estas compañías han implementado servicios de DNS mucho más sólidos, dándose cuenta de la importancia de tener sistemas de respaldo y un servicio sólido de mitigación DDoS.
En Colombia, .CO Internet y su matriz Neustar han trabajado con el Gobierno para verificar de manera proactiva que los sitios web de entidades gubernamentales y militares tengan proveedores de DNS que hayan sido actualizados. El gobierno ha hecho de la seguridad cibernética una prioridad clave para 2019 como parte de MinTIC 2019 y es líder con su ejemplo.
La pregunta es, ¿ha hecho su empresa de la seguridad cibernética una prioridad clave para 2019? El primer paso es verificar para asegurarse que su proveedor de DNS esté listo para el Día de la Bandera del DNS. Tiene cerca de semana y media para que esto ocurra.