¿Qué es DNS?
El Sistema de Nombres de Dominio (DNS) es un protocolo de Internet que permite a un navegador y sistema operativo buscar las direcciones IP que corresponden a los nombres de dominio. Las direcciones IP y los nombres de dominio son cada uno un tipo de identificador para dispositivos en Internet. Las direcciones IP son numéricas (como 203.0.113.43), mientras que los nombres de dominio son legibles por humanos (como “example.com”). DNS no es un sitio web, y no necesitas interactuar con él directamente cuando estás usando Internet. Tu navegador y sistema operativo lo manejan automáticamente.
¿Por qué es necesario DNS?
Para que un dispositivo se comunique con otro a través de una red como Internet, necesita la dirección IP del otro dispositivo. Las direcciones IP son el único tipo de identificador que la infraestructura de red entiende. Sin embargo, las personas no pueden recordar fácilmente las direcciones IP.
DNS es la solución. Permite a las personas usar nombres de dominio en su lugar, mientras sus dispositivos usan DNS para buscar las direcciones IP correspondientes.
La funcionalidad de DNS es análoga a la lista de contactos en tu teléfono. Necesitas el número de teléfono de alguien para llamarlo o enviarle un mensaje, pero los números de teléfono son difíciles de memorizar. La lista de contactos te permite almacenar nombres y números de teléfono juntos, y buscar un nombre para encontrar el número de esa persona.
¿Cómo funciona DNS?
Cuando visitas una URL como example.com en tu navegador, tu navegador debe primero buscar “example.com” en DNS para obtener la dirección IP del dominio. Luego, el navegador puede contactar al servidor en esa dirección IP, pidiéndole que envíe de vuelta el contenido del sitio web de example.com.
Para realizar búsquedas en DNS, tu dispositivo debe tener las direcciones IP de uno o más servidores DNS. Cuando conectas tu dispositivo a una red (como tu Internet doméstico o Wi-Fi público), la red usualmente le dice a tu dispositivo una dirección de servidor DNS automáticamente. También puedes especificar manualmente qué servidores DNS usa tu dispositivo, aunque no deberías necesitar hacerlo.
No hay una entidad única a cargo de mantener DNS. Muchas compañías diferentes operan servidores DNS, incluyendo ISPs, registradores de dominios (las compañías de las cuales puedes comprar nombres de dominio) y algunas grandes empresas tecnológicas como Google.
¿Qué tipos de registros DNS existen?
DNS contiene una colección de “registros”, cada uno de los cuales contiene información sobre un nombre de dominio. Existen varios tipos diferentes de registros.
- Los registros “A” contienen una o más direcciones IPv4 que corresponden a un nombre de dominio. Si hay varias direcciones IP, cualquiera de ellas puede ser utilizada. Poner múltiples direcciones IP en un registro A es una técnica común para el “balanceo de carga”, que distribuye el trabajo de alojar un sitio web uniformemente entre varios servidores diferentes.
- Los registros “AAAA” son como los registros A, pero para direcciones IPv6 en lugar de IPv4.
- Los registros “CNAME” contienen un nombre de dominio que corresponde a otro nombre de dominio. Por ejemplo, si un navegador busca “example.com”, puede recibir un registro CNAME que dice “example.com se asigna a example.net”. En este caso, luego buscaría “example.net”. Sin embargo, aún verías “example.com” en la barra de direcciones de tu navegador.
- Los registros “MX” son para correo electrónico. Cuando envías un correo electrónico, tu proveedor de correo buscará el registro MX para el dominio que aparece después del “@” en la dirección de correo electrónico de destino. El registro MX contiene la dirección IP donde debe ser entregado el correo electrónico a ese dominio.
Existen muchos otros tipos de registros, pero los cuatro mencionados anteriormente son los más comunes.
¿Es DNS susceptible a ataques?
Cuando DNS fue diseñado originalmente, Internet no tenía las mismas amenazas de seguridad que enfrentamos hoy en día. Como resultado, DNS por sí solo no incluye suficientes medidas de seguridad y es vulnerable a la manipulación o hacking. Los términos para este tipo de ataques DNS incluyen secuestro, suplantación y envenenamiento de caché.
Cada uno de estos métodos redirige a un usuario del sitio solicitado a un sitio de la elección del atacante. Los objetivos de estos ataques pueden ser phishing, redirigir para servir anuncios o recolectar datos, o incluso censurar contenido. Algunos ejemplos comunes de redirección son:
- Registro o pago: Ves que esto sucede cuando te conectas al Wi-Fi del hotel, intentas visitar example.com, y en cambio eres redirigido a la página web del hotel pidiéndote que te registres o pagues. Una vez que completas este proceso de inicio de sesión, eres redirigido de nuevo al sitio original solicitado. En este caso, el Wi-Fi del hotel está interceptando tu consulta DNS y respondiendo con su propia dirección IP en lugar de la dirección IP del sitio que estás solicitando.
- Censura: Un gobierno o empresa puede colocar su propio servidor DNS en la red para controlar a qué tienen acceso los ciudadanos o empleados cuando solicitan un cierto sitio web. Un ejemplo de esto es el Gran Cortafuegos de China. Si estás en una red en China, dependes de la tabla DNS de China para devolver la dirección IP solicitada. Cuando solicitas un sitio censurado, no recibes la dirección IP correcta y, por lo tanto, no obtienes acceso al sitio solicitado.
- Phishing: Un hacker puede, con credenciales robadas, alterar un registro DNS para redirigir a los usuarios a un sitio copia para phishing datos personales e información de inicio de sesión, o instalar malware.
- Colocar anuncios: Los ISP pueden configurar su tabla DNS local para enviar anuncios dirigidos a los usuarios.
Preocupaciones de privacidad con DNS
Además de las amenazas de seguridad de los varios métodos de redirección DNS, también hay problemas generales respecto a la privacidad y DNS. El servidor DNS que tu dispositivo utiliza puede ver qué nombres de dominio tu dispositivo está buscando, lo que le da mucha información sobre qué sitios web estás visitando. Esto puede ser una preocupación de privacidad si no confías en quien opera el servidor DNS, que a menudo es tu ISP. Para mitigar este problema, puedes configurar tu dispositivo para usar un servidor DNS alternativo, aunque tendrías que encontrar un proveedor de DNS en el que confíes.
Otro problema es que la mayoría de las búsquedas DNS no están encriptadas, lo que significa que si estás en una red Wi-Fi no encriptada, cualquiera en la red puede ver qué nombres de dominio tu dispositivo está buscando. Una solución parcial se llama “DNS sobre HTTPS,” que utiliza encriptación para proteger el tráfico DNS. La mayoría de los principales navegadores lo soportan, incluyendo Brave, que llama a la función “DNS seguro.” Puedes habilitarlo en las configuraciones de Brave. Sin embargo, ten en cuenta que esto solo protegerá las búsquedas DNS que resulten de tu navegación web; las búsquedas DNS de aplicaciones distintas de tu navegador pueden seguir sin encriptar.
Protecciones contra el hackeo de DNS
Los ataques DNS pueden ser muy difíciles de detectar. Sin protecciones incorporadas en DNS, depende de los propietarios de sitios web y los usuarios estar atentos y utilizar las herramientas disponibles para la protección.
Los propietarios de sitios web pueden tomar varias medidas para proteger sus datos de la tabla DNS contra ataques, incluyendo:
- Usar un protocolo llamado DNSSEC (para Extensiones de Seguridad del Servidor de Nombres de Dominio) para añadir una firma digital a una entrada de la tabla DNS, verificando que el registro es auténtico. Este paso de autentificación puede ayudar a los sitios web a evitar que sus usuarios sean dirigidos al sitio equivocado.
- Monitorear el tráfico del sitio para detectar cambios repentinos. Si el número de visitas cae repentinamente o de manera significativa, puede indicar que sus registros DNS han sido secuestrados de alguna manera y que los visitantes potenciales están siendo redirigidos.
- Revisar periódicamente las entradas DNS para asegurarse de que no han sido modificadas.
También hay cosas que puedes hacer para evitar ser dirigido al sitio web equivocado y protegerte si te conectas a contenido malicioso:
- Usar una VPN, especialmente cuando estás en una conexión Wi-Fi pública. Esto puede proteger contra ataques de man-in-the-middle que podrían intentar interceptar el tráfico entre tú y el servidor DNS.
- Cuando un sitio web se carga, verifica que es el que querías. Incluso si se ve bien, asegúrate de que la dirección real del sitio web sea correcta (p.ej. “example.com” y no “exampel.com”). Verifica en la barra de dirección del navegador que aparezca “https://” (no “http://”).
- Mantén todo el software, incluido el software antivirus, actualizado. Esto puede ayudar a prevenir que el malware se instale si terminas en un sitio malicioso.
- Usa DoH (DNS sobre HTTPS) o DoT (DNS sobre TLS) para encriptar tus consultas DNS. El navegador Brave tiene capacidad DoH, llamada “DNS seguro,” integrada en sus opciones avanzadas de seguridad (y puede, dependiendo de tu ISP, habilitar esta capacidad por defecto).
- Si no confías en tu ISP, y puedes encontrar un servidor DNS alternativo en el que confíes, configura tu dispositivo para usar este alternativo en su lugar.
- Usa el navegador Brave—sus capacidades mejoradas de bloqueo de anuncios y bloqueo de rastreadores proporcionan mayor seguridad contra el camuflaje CNAME.