Qué es el DNS hijacking. Funcionamiento y recomendaciones

Qué es el DNS Hijacking 

Comencemos por el principio: cuando hablamos de DNS, o domain name system, estamos hablando de la dirección de la página web a la que quieres acceder a través de tu navegador. Es una parte esencial de internet, puesto que es la que traduce los nombres de dominio en una dirección IP que el ordenador usa para acceder a una web concreta.  

Entonces, ¿qué es lo que hace exactamente este Hijacking o secuestro de DNS? Es un ataque cibernético mediante el cual se interfiere de forma directa con este DNS de un servidor, y se redirige todo de forma automática a otro sitio web. Normalmente, el sitio al que se redirige es malicioso, e incluso se usa para hacer phishing y robar los datos de los usuarios. Y es que estas páginas a las que se redirigen pueden tener publicidad encubierta… o pueden instalar spyware en tu dispositivo. Y eso es lo que haría que toda tu información estuviera comprometida. 

Funcionamiento 

Al buscar una página web en tu navegador, lo que tú usas es un nombre de dominio. Si es una web que no has visitado nunca, el dispositivo debe buscar en el servidor los nombres y, a partir de ahí, entrar a la página en concreto. Ese momento exacto en el que se establece la comunicación es crucial, porque lo más habitual es que la solicitud y la respuesta posterior no se encuentren encriptados. Y es en ese momento preciso en el que los atacantes interceptan esa solicitud, y deciden redirigir a la persona a otra web. Esto lo pueden hacer de diferentes maneras, como secuestrando el router completo de la vítima. 

Lo que hacen los ciberatacantes es intervenir, modificar o corromper el sistema del nombre de dominio que les interese. En muchas ocasiones, lo que buscan es solo posicionar unas cuantas páginas webs, sitios de spam en los que tú, como usuario, no entrarías de otra manera. Pero estos ciberdelicuentes consiguen ganar dinero al promover las visitas de estas páginas webs, ya que las empresas les pagan por sus servicios.  

Aunque hay otras técnicas de DNS Hijacking, como veremos a continuación, que son más fáciles de detectar. Por ejemplo, cuando ves que tu navegador comienza a abrir de repente páginas en las que tú no habías entrado. En ese caso, es porque el virus se encuentra en la configuración directa de tu navegador, y se encarga de ir abriendo páginas de publicidad. Seguramente sí que hayas visto esta técnica en más de una ocasión, sobre todo en dispositivos antiguos sin antivirus de ningún tipo. 

Motivos y Métodos de los Atacantes

Los atacantes recurren al DNS hijacking por varios motivos. Uno de los principales es redirigir a los usuarios a sitios fraudulentos para robo de información (phishing) o distribución de malware. También se utiliza para bloquear el acceso a ciertos sitios web o servicios en línea, a menudo por motivos de censura o control político. En algunos casos, los atacantes buscan interrumpir servicios en línea como parte de un ataque más amplio contra una organización o entidad.

El DNS hijacking se puede realizar de varias maneras. Un método común es la infección de malware en el dispositivo del usuario, que altera la configuración del DNS para redirigir las solicitudes. Otro enfoque implica comprometer un router y cambiar sus configuraciones de DNS. En ataques más sofisticados, los ciberdelincuentes pueden tomar el control de los servidores DNS reales, afectando a un gran número de usuarios. Estos ataques requieren habilidades técnicas avanzadas y a menudo explotan vulnerabilidades de seguridad no parcheadas. De esta parte profundizamos más en el siguiente apartado.

 Técnicas de DNS Hijacking 

Como hemos mencionado, hay diferentes técnicas de Hijacking que los atacantes pueden poner en marcha. Nosotros vamos a mencionar algunas de ellas, las más habituales: 

• Secuestro del router de la víctima. Es extraño que las personas cambien la contraseña base del router, pese a que es recomendable hacerlo. Y eso hace que sea muy sencillo acceder a este. Una vez dentro del router, los ciberdelincuentes pueden secuestrar el DNS y hacer las redirecciones que consideren oportunas. 
• En lugar de secuestra el router, lo que se puede hacer es atacar de forma directa el ordenador mediante virus o troyanos. En este caso, lo que hace el hacker es instalar su propio buscador en tu ordenador. Esto es fácil de ver, siempre y cuando revises la configuración DNS de tu dispositivo, aunque es algo que no hacemos a menudo. 
• Hay otra técnica en la que el atacante actúa casi como si de un intermediario se tratara, que es de lo que hemos hablado anteriormente. Al no estar encriptadas las solicitudes de información, las intercepta y redirige al usuario a la web maliciosa que considere oportuno. En este caso, puede ser el navegador el que se encuentre infectado. 
• También se puede dar lo que se conoce como envenenamiento de caché DNS, que es cuando el ciberdelincuente introduce información falsa en la caché del usuario. Así, cuando el usuario quiere entrar en una web concreta, se le redirige de forma automática a una falsa. 

• Por último, hay otra forma de Hijacking que no afecta directamente a los usuarios, sino a las páginas webs. Y es cuando secuestra ese servidor de nombres de dominio, y se encarga de redirigir las solicitudes de acceso. 

Pese a que hay diferentes técnicas, al final el resultado es siempre el mismo: los usuarios acaban en páginas webs en las que no deseaban entrar. Y, en muchas ocasiones, estas pueden poner en riesgo su ciberseguridad. 

Cómo puedo saber si mi DNS está secuestrado 

 ¿Tienes dudas, y quieres saber si tu DNS está secuestrado? Hay varios síntomas que son bastante claros: 

1. Si notas muchas redirecciones inesperadas a sitios webs que son desconocidos, o que pudieras considerar spam. 

2. En caso de encontrar páginas de inicio o motores de búsqueda predeterminados que no conocías o que tú no habías instalado como tal. 

3. Mensajes de error al tratar de entrar en páginas webs que conocías. 

En estos casos, tendrías que plantearte la posibilidad de un secuestro. Lo mejor que puedes hacer en ese caso es contactar con expertos en seguridad en internet, para que así puedan asesorarte e informarte de cómo solucionarlo. 

Medidas de protección

Protegerse contra el DNS hijacking requiere una combinación de prácticas de seguridad cibernética y el uso de herramientas y servicios específicos. Aquí hay algunas medidas efectivas que puedes tomar:

• Utiliza DNS Seguros: Opta por servicios de DNS que ofrezcan seguridad adicional, como la verificación de la autenticidad de las respuestas DNS para evitar la manipulación. Servicios como DNSSEC (DNS Security Extensions) proporcionan una capa adicional de seguridad mediante la validación de las respuestas DNS con firmas digitales.
• Conexiones HTTPS: Asegúrate de que los sitios web que visitas usen HTTPS, lo cual indica que la comunicación entre tu navegador y el sitio web está cifrada. Esto puede ayudar a proteger contra ciertas formas de DNS hijacking que redirigen a versiones inseguras de sitios web.
• Configura la Seguridad en Routers y Dispositivos de Red: Cambia las contraseñas predeterminadas y actualiza el firmware de tus dispositivos de red para protegerte contra vulnerabilidades que los atacantes podrían explotar para realizar DNS hijacking.
• VPN: Una red privada virtual (VPN) puede ofrecer una capa adicional de seguridad al cifrar todo el tráfico de Internet y proteger la integridad de tus datos, incluso si el DNS es comprometido.

Implementar estas medidas no solo puede ayudarte a protegerte contra el DNS hijacking, sino también contra una amplia gama de amenazas de seguridad cibernética. Mantenerse informado sobre las prácticas de seguridad actuales y ser proactivo en la aplicación de medidas de protección es clave para garantizar la seguridad en línea.

Casos reales de DNS Hijacking  

Ha habido muchos, muchos casos de Hijacking a lo largo de los años. Es más, algunos han sido bastante sonados. Por ejemplo, en 2019 se descubrió un caso de DNS Hijacking dirigido a los gobiernos y las empresas más importantes de Medio Oriente y América del Norte. La gravedad fue tal que se obtuvieron una gran cantidad de credenciales de inicio de sesión, y mucha información sensible peligró. 

Si vamos un poco más atrás, podemos hablar del caso de 2015 que engloba a empresas tan importantes como Google y Lenovo. Y es que un grupo de Hackers controló los dominios de Google Vietnam y Lenovo, y se encargó de dirigir a los usuarios a webs creadas por ellos. 

Ataque a Brasil: En uno de los casos más grandes de DNS hijacking, miles de usuarios de Internet en Brasil fueron redirigidos a versiones falsas de sitios web populares. Los atacantes utilizaron este método para robar información personal y credenciales bancarias.

▶️ Qué es una centralita IP

▶️ Qué es el Reglamento de Resiliencia Operativa Digital DORA

¿Necesitas más información acerca del DNS Hijacking?

Ponte en Contacto con Nosotros