Empecemos por el principio. La mayoría de las veces vemos el DNS como una simple commodity. Aunque los proveedores de Internet y las grandes empresas no piensan lo mismo al sufrir las consecuencias de una interrupción y además abundan las noticias sobre ataques cibernéticos masivos a organizaciones y secuestros de DNS. Sin embargo, no hemos alcanzado a entender todavía las verdaderas implicaciones de un secuestro DNS (o DNS hijacking) para cualquier negocio o incluso para nuestra vida cotidiana.
Y es que sin DNS no hay comunicación. Así de fácil. El DNS es el nexo entre Internet y las redes empresariales y si no funciona no es posible ninguna comunicación, ni pública ni privada. Por tanto, el secuestro de DNS implica, aparte del robo de información, el hecho de que el usuario no está conectado al servicio al que quiere acceder facilitando sus datos críticos. Con el auge del teletrabajo y la progresión de la digitalización en las empresas proteger el DNS se ha convertido en un pilar fundamental para garantizar la seguridad de la red y la continuidad del negocio.
Por otra parte, losataques de DNS hijacking se dirigen principalmente a dos niveles, alregistrador que es quien controla el registro de nombres de dominio, y alpropio servidor DNS, que gestiona los registros técnicos.
Para mitigar este tipo de ataques la principal recomendación es activar la configuración del DNSSEC (Extensiones de seguridad DNS para el sistema de nombres de dominio) en los servidores autorizados en todos los dominios, y en los servidores instalados en la mayoría de las organizaciones y de proveedores de servicios de Internet (ISP).
No lo olvidemos. Aunqueaún haya quien considere el DNS un lujo, cualquier forma de adopción de esteservicio tendrá un gran impacto en la seguridad de su propio negocio.
Otras medidas menosefectivas pero populares son la implantación de contraseñasseguras en las cuentas de los registradores, cambios frecuentes de contraseña,autenticación multifactorial o de dos factores (MFA o 2FA) y, obviamente, unaestrecha supervisión de la infraestructura, en particular las entradas DNS ylos certificados digitales X.509.
Lo que diferencia claramente a DNSSEC frente a otras opciones de seguridad es su capacidad de proteger contra ataques estándar (por ejemplo, Kaminsky), garantizando que se pueda verificar que la información no ha sido modificada mientras pasaba del servidor a la aplicación del usuario.
Cómo podemos hacer el DNSSEC más atractivo
A pesar de sus indudables ventajas, tenemos que reconocer que su complejidad desde el punto de vista técnico ha dificultado su implantación, ya que se basa principalmente en métodos de autenticación y certificados, mecanismos de clave pública, vencimientos y cadena de certificación. ¿Podemos hacer el DNSSEC más atractivo? Por supuesto. Simplificando la configuración y administración de claves.
¿Y por qué no se instala masivamente en las empresas? Si bien el DNSSEC ha demostrado a lo largo de los últimos años ser la medida más adecuada para repeler el hickacking DNS consiguiendo mejoras valiosas en la seguridad el DNS, dato que señalan los expertos del sector, todavía no se ha implantado masivamente en la industria ni en los propietarios de dominios. De hecho, su visibilidad en el mercado sigue siendo muy baja a pesar de llevar en el mercado desde marzo de 2005 (especificado en RFC 4033: Introducción y requisitos de seguridad de DNS.
Ha llegado el momento de darle la vuelta a la situación. Ante la incertidumbre que vivimos y el creciente temor a una nueva ola de secuestros de DNS, es necesario acelerar la adopción de DNSSEC en las organizaciones. Las empresas deben ser protagonistas de su propia seguridad protegiendo la integridad de los datos de sus clientes, empleados y socios de negocio por el bien de todos sus usuarios.
Diego Solís es Regional Manager Iberia & LATAM de Efficientip