¿Qué es la seguridad DNS?

La seguridad del DNS mantiene a raya a los "actores maliciosos" y sus dominios maliciosos mediante la aplicación de métodos de cifrado, autenticación e inteligencia de amenazas.

¿Por qué es necesaria la seguridad DNS? En gran parte debido al papel central y clave que desempeñan los servicios DNS en la comunicación moderna. El DNS sirve como la "guía telefónica" (o lista de directorios) de Internet, ayudando a hacer coincidir las solicitudes de dominio con las direcciones IP.

Para tener una idea real de lo esencial que es esa actividad, piense por un momento cuántas veces es probable que necesite estos servicios de búsqueda durante un día promedio. Ahora multiplique esa cifra para representar semanas, meses y años, y podrá ver claramente qué parte constante y continua de la informática moderna es esta actividad.

El DNS también es una actividad rica en direcciones IP, que constituyen datos potencialmente valiosos y sensibles. Además, la tecnología de capa DNS tiene varias vulnerabilidades que la dejan expuesta a diversas formas de ciberataques.

Los actores maliciosos (también llamados actores de amenazas) son entidades que tienen los medios para ejecutar ciberataques u otras acciones dañinas. Pero, ¿quiénes son estos individuos o grupos? En estos días, no hay escasez de posibilidades:

• Hackers que esperan obtener cuantiosos rescates de las víctimas.

• Facciones políticas que tienen un "hacha" que afilar.

• Disruptores sin ningún motivo filosófico aparente.

• Actividades terroristas patrocinadas por el estado desde naciones rebeldes.

Lo que realmente asusta de todos estos posibles delincuentes es lo bien que son capaces de ocultar sus propias identidades, mientras violan despiadadamente las identidades de los demás.

Los ataques pueden provenir de cualquier lugar donde los proveedores de servicios ofrezcan wifi, desde personas que trabajan en un sótano residencial en tu calle hasta grupos de ciberdelincuentes dedicados que operan en lugares ocultos de todo el mundo. Esta capacidad superior de enmascaramiento los encubre con una amplia cobertura para evitar la detección, de modo que puedan continuar implementando sus nefastos esquemas.

La seguridad del DNS gira en torno a cuatro procesos independientes de ciberseguridad.

Una mayor seguridad y una mayor privacidad son los principales beneficios de seguir los principios generales de la seguridad del DNS, tal como se manifiestan de estas maneras.

Los ataques de denegación de servicio distribuido (DDoS) están diseñados para sabotear el flujo normal del tráfico DNS. Al inundar el objetivo previsto con tanto tráfico web, el sistema objetivo se obstruye por completo.

Imagínese estar completamente abrumado, como si estuviera dirigiendo un pequeño restaurante de carretera y, de repente, miles de clientes hambrientos se agolparan en él, todos exigiendo ser atendidos en ese mismo instante. Los ataques DDoS funcionan de la misma manera, gracias al poder que les confiere su gran número.

También hay ataques de amplificación de DNS, que violan la seguridad de la red mediante el uso de servidores DNS abiertos y disponibles para amplificar el tráfico, todo ello con la esperanza de saturar un servicio o dominio de Internet objetivo. (Se denomina botnet cuando se utilizan muchos ordenadores comprometidos de esta manera). Los ataques de amplificación utilizan una dirección IP de origen falsificada (que pertenece a una víctima prevista) para dirigir cantidades masivas de tráfico de red no deseado a esa víctima.

La seguridad DNS contrarresta los ataques DDoS de muchas maneras. En primer lugar, la seguridad del DNS impone el uso de firmas digitales como paso previo a la aceptación de transferencias de datos DNS. También utiliza la detección de anomalías para detectar amenazas de DNS únicas mediante el aprovechamiento de algoritmos con IA.

Otro método, la limitación de velocidad, restringe la cantidad de solicitudes DNS que puede realizar un solo cliente, en función del tiempo transcurrido. La validación de zona DNS exige que solo los registros DNS confirmados y válidos puedan borrarse para unirse al flujo de tráfico DNS normal.

Para establecer un DNS verdaderamente seguro, es esencial que se alinee y respalde el ideal de ciberseguridad zero trust según el cual "nunca confiamos, siempre verificamos". Esto significa que no se concede acceso a ningún recurso (por insignificante que pueda parecer) sin que primero se verifique la identidad del solicitante y se le autorice el acceso.

Las empresas que adoptan plenamente el ideal de zero trust comparten similitudes notables, como se describe en un informe sobre la seguridad de zero-trust publicado por el Institute for Business Value de IBM. Este informe analiza los "pioneros del modelo zero trust" y las medidas específicas que, según las estimaciones, adopta el 23 % de las empresas para aprovechar al máximo los principios prácticos del modelo zero trust.

Los solucionadores de DNS desempeñan un papel clave en la aplicación de los principios prácticos de zero trust. Los solucionadores actúan como intermediarios. Una vez que un usuario solicita un determinado sitio web, el solucionador de DNS gestiona esa solicitud. A continuación, escanea toda la infraestructura DNS y examina los servidores DNS, en busca de la dirección IP correcta.

Si el sistema DNS no puede encontrar esa dirección IP, los solucionadores de DNS llegan fuera del sistema a servidores de nombres autorizados. Estos servidores de nombres proporcionan la "última palabra" sobre la dirección IP buscada emitiendo una dirección IP confirmada. A continuación, el solucionador de DNS recursivo guarda esa dirección IP en la memoria caché para su custodia y un acceso interno rápido la próxima vez que se necesite.

La seguridad DNS se beneficia de numerosos servicios y herramientas de seguridad. Los sistemas de detección de amenazas con IA proporcionan automatización. Lo mismo ocurre con los solucionadores DNS y otras soluciones de seguridad que se benefician del machine learning y de las fuentes de inteligencia de amenazas.

Estos sistemas y soluciones no solo automatizan los procesos necesarios, sino que también vigilan de forma proactiva el tráfico DNS en tiempo real. DNSSEC también ayuda a automatizar los procesos de seguridad protegiendo los protocolos de Internet contra ataques mediante secuestro de DNS, phishing y túneles, ciberataques que pueden desviar gravemente el tráfico DNS y perjudicar la experiencia del usuario.

Además, la seguridad DNS ayuda a proteger los objetos con capacidades de Internet de las cosas (IoT). La seguridad DNS protege los marcos de IoT de varias maneras, como impedir que los dispositivos IoT interactúen con los servidores de comando y control y ser reclutados como nuevas partes de botnets.

Mantener la ciberseguridad es un trabajo a tiempo completo, teniendo en cuenta que los ataques DNS sofisticados y en evolución parecen conservar su capacidad de adaptarse con éxito constantemente. Los siguientes tipos de soluciones de seguridad DNS se utilizan principalmente para contrarrestar este tipo de ataques y mejorar la ciberseguridad:

• Firewalls DNS: cada vez que se genera una solicitud DNS, se detiene en los firewalls de seguridad, que evalúan la solicitud contra listas de direcciones IP asociadas a sitios web y dominios maliciosos. Los firewalls también ofrecen protección contra intentos de phishing y malware.

• Detección de túneles DNS: los esfuerzos de túneles DNS incluyen la exfiltración de datos, en la que los ciberdelincuentes rastrean datos confidenciales y sensibles y los extraen de una red o sistema disfrazándolos de datos que se transfieren de forma inocente. Otro tipo de esfuerzo es la comunicación de comando y control, que ayuda a ejecutar un secuestro de DNS.

• Servicios de DNS services: los servicios DNS services permiten una gestión proactiva de la protección contra amenazas que mantiene a raya a los sitios web dañinos. Para ello, evalúa las solicitudes DNS con respecto a las fuentes de amenazas y las políticas establecidas.