Saltar el menú de navegación e ir al contenido

EROSKI CONSUMER, el diario del consumidor

Buscador

logotipo de fundación

Canales de EROSKI CONSUMER


Estás en la siguiente localización: Portada > Nuevas tecnologías > Internet y telecomunicaciones

Error DNS

Un grave fallo de seguridad pone en peligro el sistema de asignación de direcciones de Internet

  • Autor: Por
  • Fecha de publicación: sábado 16 agosto de 2008

El
pasado mes de febrero, Dan Kaminsky, un experto en seguridad
informática de Estados Unidos, encontró por casualidad
un error en el sistema de asignación de direcciones de
Internet, más conocido como DNS. Según
la información facilitada hasta la fecha, no consiste en un
fallo local sino que pone en jaque a toda la Red. Se trata de un
error que ha acompañado al sistema desde sus primeros tiempos,
pero hasta ahora nadie lo había localizado.

Este fallo permitiría a un pirata informático cambiar la configuración del sistema de nombres de dominio y suplantar la identidad de las direcciones originales

Este
fallo permitiría
a un pirata informático cambiar la configuración del
sistema de nombres de dominio y redireccionar el tráfico de
Internet hacia sitios que suplanten la identidad de las direcciones
originales. Es decir, si un usuario teclea la
dirección de su banco en el navegador, accedería a una
página falsa y sería muy difícil a simple vista
averiguar si realmente se trata de una suplantación. Estos
posibles ataques de phishing
podrían servir a los ciberdelincuentes para recopilar datos
personales, números de tarjetas de crédito o
contraseñas de sistemas bancarios “online”.


Debido a las graves consecuencias que la publicación de
este fallo podría ocasionar a la Red, el 31 de marzo de este
año se reunieron en la sede de Microsoft, en Redmond, estado
de Washington, los representantes de seguridad de las 16 principales
empresas de Internet de Estados Unidos.


Este grupo, con la ayuda del
Equipo de Emergencia y Respuesta Informática del Departamento
de Seguridad Interior norteamericano, decidió trabajar
conjuntamente para crear parches de seguridad con el fin de evitar
que el error DNS pudiera se explotado. Microsoft,
Cisco, Debian, Red Hat, Sun, ISC, Juniper, entre otros,
junto con otras empresas proveedoras de Internet (ISP) han
proporcionado parches de seguridad mediante descargas o
actualizaciones automáticas de los sistemas operativos a los
webmasters de las páginas y servicios de Internet.

Algunos ISP españoles han tardado más de lo debido en aplicar los diferentes
parches de seguridad para proteger a sus usuarios del error DNS

Hasta
el pasado ocho de julio, día en que se hizo público
este fallo para alertar a otras empresas, nadie conocía la
existencia del mismo. Sólo se han filtrado algunos
detalles
, a la espera de que la situación sea lo
suficientemente segura para explicar a otros expertos de seguridad
informática el error encontrado.


Algunos ISP españoles han tardado en aplicar los diferentes
parches para proteger a sus usuarios. El portal BandaAncha mantiene
un listado actualizado
diariamente
con la situación y vulnerabilidad de cada uno
de los servidores DNS utilizados por los proveedores de
acceso españoles. Por su parte Dan
Kaminsky ha creado en su blog
personal
una herramienta “online” denominada “check my DNS”
que permite a cualquier usuario conocer en tiempo real si su conexión
a Internet es vulnerable a estos ataques.

OpenDNS.com, ¿la mejor solución?

Una de las soluciones que Kaminsky, y otros expertos de seguridad,
recomiendan a aquellos usuarios cuyo proveedor de acceso no haya
implementado aún las medidas de seguridad es cambiar
manualmente la configuración de acceso a sus servidores DNS
por otros más seguros. Entre estas medidas se encuentra la
utilización de los servidores DNS proporcionados por
OpenDNS.com. Esta web
proporciona una sistema de nombres de dominio
seguro
que puede ser utilizado por cualquiera. Para ello,
los usuarios deben sustituir en las propiedades de su conexión
a Internet la dirección de sus servidores de dominio por las
dos de OpenDNS: 208..67.222.222 y 208.67.220.220.



OpenDNS, por otro lado, tiene una forma curiosa de financiarse:
recurre a mostrar una página con publicidad cada vez que un
usuario no encuentra la página de Internet que está
buscando. Sus promotores aseguran que este sistema es totalmente
seguro para los usuarios.


Sin embargo, Kaminsky alertó
el pasado mes de abril
de los peligros en que pueden incurrir los
proveedores de acceso que utilizan las páginas de error para
redireccionarlas hacia otras con contenido publicitario. Básicamente,
lo que hacen estos ISP es modificar la respuesta NXDOMAIN, nombre de
DNS no encontrado, por una página propia del ISP. En España,
este sistema es utilizado, entre otros, por el ISP Ya.com.

Servidores DNS

El sistema DNS, que se definió a finales de los años
ochenta, es el encargado de listar las direcciones web y hacerlas
corresponder con la dirección IP, una dirección
numérica que identifica cada uno de los servidores y
dispositivos conectados a Internet. Las DNS se almacenan en una
base de datos distribuida
y jerárquica, donde también se almacena la localización
de los servidores de correo electrónico de cada dominio. Este
sistema nació por la necesidad de recordar de forma más
sencilla los nombres de todos los servidores conectados a la Web.


Las DNS se almacenan en una base de datos distribuida y jerárquica, donde también se almacena la localización de los servidores de correo electrónico de cada dominio

Esta base de datos no se guarda en un solo lugar, ya que
sería incapaz de soportar todo el tráfico de Internet.
Para ello se utilizan servidores de DNS, donde se replica la
información de la base de datos DNS a lo largo de una red de
servidores establecidos por todo el mundo. Cada vez que se añade
un nuevo nombre de dominio o alguno de los ya existentes cambia su
configuración, este cambio debe ser actualizado en cada uno de
los servidores DNS existentes. Este tiempo, conocido como propagación
de las DNS, suele estimarse entre 24 y 48 horas. Durante este
periodo los servidores suele estar inoperativos.

Al publicar un comentario aceptas la política de protección de datos

Te puede interesar:

Infografías | Fotografías | Investigaciones