Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: DNS hijacking o cómo roban tu información sin que te des cuenta

Fecha de publicación 28/07/2020
Autor
INCIBE (INCIBE)
Historias reales: DNS hijacking y cómo robar tu información sin que te des cuenta

Pedro es el gerente de una asesoría desde la que realiza las gestiones de sus clientes de manera telemática, una tarde mientras trabajaba, accedió a Internet para descargarse una aplicación necesaria para continuar con sus tareas, la instaló y continuó trabajando.

Al día siguiente, accedió a la banca online para comprobar el estado de sus cuentas, pero tras introducir su usuario, contraseña y el código necesario de autenticación, la página mostró un error que decía: ‘temporalmente no disponible’. Pedro pensó que debía tratarse de un error puntual y continuo trabajando. Esa misma tarde, intentó volver a acceder de nuevo a la banca online, pero el error continuaba apareciendo.

Al día siguiente, Pedro llamó a su banco para preguntar qué estaba ocurriendo con el acceso a su banca online, tras realizar las oportunas comprobaciones, su banco le confirmó que no existía, ni había existido ningún problema en las últimas horas y le aconsejó cambiar la contraseña de acceso a su servicio online.

No habían transcurrido ni 48 horas, cuando Pedro comenzó a recibir cargos bancarios y órdenes de transferencia internacionales que él no había realizado. Tras contactar nuevamente con su entidad bancaria, le confirmaron que posiblemente estaba siendo víctima de algún robo de credenciales.

En realidad, el protagonista de nuestro caso real, había sido víctima de un DNS hijacking (del inglés, secuestro de DNS o Domain Name System), una modalidad de ataque que trata de redirigir las consultas a Internet desde un dispositivo (ordenador, móvil, tableta, etc.) a un servidor fraudulento o que suplanta la identidad de otro.

Pero, ¿cómo ha sido posible?, se preguntaba Pedro

Pedro, sin darse cuenta, había descargado la herramienta necesaria para su trabajo, desde una página no oficial del fabricante, la cual contenía malware. Los ataques DNS hijacking, suelen ser empleados para robar credenciales, además de cualquier otra clase de información personal, existen 3 modalidades diferentes dependiendo del nivel de acceso a la red o privilegios que el atacante pueda obtener.

  • Secuestro local.
  • Secuestro del router.
  • Secuestro del servidor de nombres de dominio en Internet.

Clasificados de menor a mayor gravedad y de mayor a menor facilidad, según los privilegios conseguidos, podríamos decir que los dos primeros son responsabilidad del usuario y los más fáciles de realizar, mientras que el último depende de la seguridad de terceros y es complicado poder llevarlo a cabo.

Modalidades del ataque y causas

Si el ataque es local, quiere decir que solo afectará al dispositivo u ordenador cuya configuración de resolución de direcciones haya sido modificada, generalmente suele ocurrir a causa de infecciones de malware, troyanos y similares.

Recordemos que Pedro se descargó una aplicación desde una página no oficial, la cual podría contener el malware que produjo la modificación de sus equipos pudiendo haber afectado a su ordenador y a su rúter.

Si el ataque ha sido contra el rúter, todos los equipos de esa red que gestione el mismo estarán afectados. Generalmente el atacante hace que las peticiones que recibe el rúter hacia Internet, sean desviadas hacia un servidor controlado por el ciberdelincuente en el cual podrá redirigir el tráfico a páginas fraudulentas o especialmente diseñadas para obtener información personal del usuario.

Por lo general este tipo de ataques están relacionados con contraseñas establecidas por defecto en los rúters, y redes wifi sin seguridad (mayor comodidad implica menor seguridad) o con bajos niveles de seguridad (al menos WPA2-AES), siendo muy recomendable prestar especial atención a estos dispositivos que en realidad serian la ‘puerta de entrada’ a nuestra empresa.

Sin embargo, si el ataque ha sido contra el servidor de nombres de dominio que atiende peticiones en Internet a nivel global, ataque ‘Rogue Hijack’ (del inglés: secuestro deshonesto), los equipos locales no estarán directamente afectados pero podrían ser redirigidos a páginas fraudulentas como si fueran legítimas (phishing), o a páginas con alto contenido publicitario (pharming). Este tipo de ataques se centra en solicitudes más concretas y mejor elaboradas que generalmente no suelen suceder, ya que la seguridad de estos servidores es extremadamente alta y las penas legales son de gran importancia, disuadiendo a la mayoría de atacantes, aun así, siempre debemos estar atentos al comportamiento de nuestro navegador e implementar medidas adicionales con herramientas de terceros como veremos más adelante.

Cómo protegernos

Empezando de menos nivel de implicación de usuarios afectados a más, podríamos considerar las siguientes medidas de protección:

  • Instalar aplicaciones como antivirus, antimalware y antiphishing y mantenerlas actualizadas.
  • Tener el control de nuestro propio rúter o poner el rúter de nuestro proveedor en modo bridge (del inglés: puente) y utilizar nuestras propias DNS, podría evitar que el proveedor de Internet (ISP) nos haga DNS hijacking para redirigirnos a páginas con publicidad cuando la web solicitada no se encuentre o dé un error, sin olvidarnos de revisar de forma periódica que las DNS que está utilizando nuestro rúter no han sido modificadas
  • Actualizar el firmware o sistema operativo del rúter, evitando así posibles vulnerabilidades que pudieran ser explotadas por un atacante.
  • Cambiar los datos de acceso por defecto al rúter por otros personalizados, manteniendo una política de contraseñas seguras y robustas.
  • Utilizar servidores DNS (de nombres de dominio) seguros, es decir, sobre HTTPS o sobre TLS, los cuales mandan las peticiones cifradas, siendo más difícil suplantar la identidad.
  • Descargar aplicaciones solo desde las páginas oficiales, las cuales suelen contar con un certificado de seguridad HTTPS.
  • No hacer clic en enlaces extraños, ni acceder a páginas de dudosa reputación, así como tampoco abrir correos con publicidad ‘gancho’ o de remitentes desconocidos.

¿Puedo saber si estoy siendo víctima de este ataque?

Existen diversas formas con mayor o menor nivel de complejidad para saber si hemos sido atacados, a ‘grosso modo’ las dos más importantes serian:

  • Comprobar el archivo hosts de nuestro equipo y ver las entradas que contiene (si contiene alguna) y si la IP y el nombre del dominio guardan relación y son coherentes.
    • En Windows podemos encontrar el archivo hosts en: C:\Windows\System32\drivers\etc\hosts
    • En Mac se encuentra en: /private/etc/hosts
    • En Linux está en la ruta: /etc/hosts
    • *En Mac y Linux puede ser necesario asignar permisos desde la consola para poder editarlo con el comando: sudo nano + ruta
  • Comprobar en el rúter los ajustes DNS. Para ello accederemos a nuestro rúter y buscaremos generalmente el bajo el apartado WAN, donde podremos comprobar si las direcciones IP que figuran son las que nos ha proporcionado nuestro proveedor o las que hemos puesto nosotros, si no coinciden, podemos cambiarlas, sin olvidar también cambiar la contraseña del rúter para evitar que el mismo atacante las cambie de nuevo.

También existen en la red servicios de verificación de los nombres de dominio, que aunque no son siempre fiables, y en ocasiones sus resultados no son concluyentes, pueden ser de ayuda en algunos casos.

Aunque la mejor protección siempre es la experiencia y el sentido común, aplicar estas medidas, ayudaran a mantenerse alejado del perfil de usuario fácil de atacar, manteniendo los datos de nuestra empresa y clientes, ciberseguros.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad