El pasado mes de febrero, Dan Kaminsky, un experto en seguridad informática de Estados Unidos, encontró por casualidad un error en el sistema de asignación de direcciones de Internet, más conocido como DNS. Según la información facilitada hasta la fecha, no consiste en un fallo local sino que pone en jaque a toda la Red. Se trata de un error que ha acompañado al sistema desde sus primeros tiempos, pero hasta ahora nadie lo había localizado.
Este fallo permitiría a un pirata informático cambiar la configuración del sistema de nombres de dominio y suplantar la identidad de las direcciones originales
Estefallo permitiría a un pirata informático cambiar la configuración del sistema de nombres de dominio y redireccionar el tráfico de Internet hacia sitios que suplanten la identidad de las direcciones originales. Es decir, si un usuario teclea la dirección de su banco en el navegador, accedería a una página falsa y sería muy difícil a simple vista averiguar si realmente se trata de una suplantación. Estos posibles ataques de phishingpodrían servir a los ciberdelincuentes para recopilar datos personales, números de tarjetas de crédito o contraseñas de sistemas bancarios «online».
Debido a las graves consecuencias que la publicación de este fallo podría ocasionar a la Red, el 31 de marzo de este año se reunieron en la sede de Microsoft, en Redmond, estado de Washington, los representantes de seguridad de las 16 principales empresas de Internet de Estados Unidos.
Este grupo, con la ayuda del Equipo de Emergencia y Respuesta Informática del Departamento de Seguridad Interior norteamericano, decidió trabajar conjuntamente para crear parches de seguridad con el fin de evitar que el error DNS pudiera se explotado. Microsoft, Cisco, Debian, Red Hat, Sun, ISC, Juniper, entre otros, junto con otras empresas proveedoras de Internet (ISP) han proporcionado parches de seguridad mediante descargas o actualizaciones automáticas de los sistemas operativos a los webmasters de las páginas y servicios de Internet.
Algunos ISP españoles han tardado más de lo debido en aplicar los diferentes parches de seguridad para proteger a sus usuarios del error DNS
Hasta el pasado ocho de julio, día en que se hizo público este fallo para alertar a otras empresas, nadie conocía la existencia del mismo. Sólo se han filtrado algunos detalles, a la espera de que la situación sea lo suficientemente segura para explicar a otros expertos de seguridad informática el error encontrado.
Algunos ISP españoles han tardado en aplicar los diferentes parches para proteger a sus usuarios. El portal BandaAncha mantiene un listado actualizado diariamente con la situación y vulnerabilidad de cada uno de los servidores DNS utilizados por los proveedores de acceso españoles. Por su parte Dan Kaminsky ha creado en su blog personal una herramienta «online» denominada «check my DNS» que permite a cualquier usuario conocer en tiempo real si su conexión a Internet es vulnerable a estos ataques.
OpenDNS.com, ¿la mejor solución?
Una de las soluciones que Kaminsky, y otros expertos de seguridad, recomiendan a aquellos usuarios cuyo proveedor de acceso no haya implementado aún las medidas de seguridad es cambiar manualmente la configuración de acceso a sus servidores DNS por otros más seguros. Entre estas medidas se encuentra la utilización de los servidores DNS proporcionados porOpenDNS.com. Esta web proporciona una sistema de nombres de dominio seguro que puede ser utilizado por cualquiera. Para ello, los usuarios deben sustituir en las propiedades de su conexión a Internet la dirección de sus servidores de dominio por las dos de OpenDNS: 208..67.222.222 y 208.67.220.220.
OpenDNS, por otro lado, tiene una forma curiosa de financiarse: recurre a mostrar una página con publicidad cada vez que un usuario no encuentra la página de Internet que está buscando. Sus promotores aseguran que este sistema es totalmente seguro para los usuarios.
Sin embargo, Kaminsky alertó el pasado mes de abril de los peligros en que pueden incurrir los proveedores de acceso que utilizan las páginas de error para redireccionarlas hacia otras con contenido publicitario. Básicamente, lo que hacen estos ISP es modificar la respuesta NXDOMAIN, nombre de DNS no encontrado, por una página propia del ISP. En España, este sistema es utilizado, entre otros, por el ISP Ya.com.
El sistema DNS, que se definió a finales de los años ochenta, es el encargado de listar las direcciones web y hacerlas corresponder con la dirección IP, una dirección numérica que identifica cada uno de los servidores y dispositivos conectados a Internet. Las DNS se almacenan en una base de datos distribuiday jerárquica, donde también se almacena la localización de los servidores de correo electrónico de cada dominio. Este sistema nació por la necesidad de recordar de forma más sencilla los nombres de todos los servidores conectados a la Web.
Las DNS se almacenan en una base de datos distribuida y jerárquica, donde también se almacena la localización de los servidores de correo electrónico de cada dominio
Esta base de datos no se guarda en un solo lugar, ya que sería incapaz de soportar todo el tráfico de Internet. Para ello se utilizan servidores de DNS, donde se replica la información de la base de datos DNS a lo largo de una red de servidores establecidos por todo el mundo. Cada vez que se añade un nuevo nombre de dominio o alguno de los ya existentes cambia su configuración, este cambio debe ser actualizado en cada uno de los servidores DNS existentes. Este tiempo, conocido como propagación de las DNS, suele estimarse entre 24 y 48 horas. Durante este periodo los servidores suele estar inoperativos.
