¿En qué se diferencia DNSSEC del cifrado?

Es una pregunta que escuchamos a menudo: “¿No es DNSSEC lo mismo que DNS cifrado?”.

En realidad, no. Aunque DNSSEC protege las redes contra ataques de intermediario (man-in-the-middle), lo hace mediante criptografía de clave pública, que es diferente del cifrado. En otras palabras, DNSSEC proporciona una forma de autenticación, pero no una forma de confidencialidad.

DNSSEC utiliza criptografía de clave pública para “firmar” o autenticar digitalmente las consultas DNS. Cuando DNSSEC está habilitado en un registro de zona, el dispositivo receptor puede comparar la información que recibe con la información original enviada por el servidor autoritativo. Esto se habilita mediante una firma digital que utiliza claves públicas para autenticar los datos.

En DNSSEC, las claves de autenticación están protegidas mediante criptografía, pero los datos en sí no están protegidos. Todavía es posible interceptar y leer el tráfico protegido por DNSSEC. Si los datos se manipulan en algún lugar a lo largo de la ruta de datos y se envían a su destino, el servidor receptor podrá decir que algo anda mal porque las claves públicas no coincidirán.

El cifrado, por otro lado, utiliza la criptografía para codificar los datos en sí. El cifrado garantiza la confidencialidad al cambiar lo que vería un atacante si interceptara una consulta en algún lugar de la ruta de los datos. Hace que los datos sean ininteligibles a menos que el atacante pueda descifrar la señal utilizando una clave de cifrado. Dado que esa clave no se comparte públicamente, el cifrado protege los datos de la manipulación.

DNS es uno de los protocolos más antiguos de internet. Cuando se creó, internet era un lugar mucho más pequeño donde casi todo el mundo se conocía. La seguridad era una ocurrencia tardía.

Cuando la seguridad de internet se convirtió en una preocupación, el DNS se utilizaba tanto que cualquier cambio significativo habría paralizado todo el sistema. En lugar de intentar desarrollar un protocolo totalmente cifrado para sustituir al DNS, se decidió añadir un mecanismo de autenticación al sistema existente.

DNSSEC fue un compromiso. Hizo posible la autenticación de consultas y datos, aumentando la seguridad del protocolo. Pero lo hizo sin cambiar el sistema subyacente, por lo que internet podría seguir creciendo sin necesidad de rediseñar nada. La implementación de DNSSEC se hizo opcional para que las organizaciones pudieran hacer la transición cuando quisieran.

El envenenamiento de la caché de DNS (también conocido como suplantación de DNS) es una gran razón para implementar DNSSEC. En un ataque de suplantación de DNS, una respuesta no autenticada se sustituye por la respuesta legítima a una consulta DNS. Esa respuesta se queda atascada en la caché, continúa devolviendo la respuesta incorrecta y dirigiendo a los usuarios a sitios maliciosos hasta que expira el “tiempo de vida”.

DNSSEC protege contra este tipo de ataques mediante la autenticación de las respuestas DNS, lo que garantiza que solo se devuelvan las respuestas correctas. El cifrado puede proteger los datos subyacentes en una conexión DNS, pero no protegería contra un ataque de suplantación de DNS.

Lamentablemente, solo alrededor del 20 % del tráfico de internet (enlace externo a ibm.com) se valida a través de DNSSEC. Aunque se trata de un aumento significativo con respecto a hace unos años, sigue estando muy lejos de donde debería estar. Una combinación de problemas de usabilidad, falta de información y pura pereza explica esa importante brecha.

NS1 anima encarecidamente a todos sus clientes a implementar DNSSEC y promueve su uso a través de un proceso de implementación sencillo. A diferencia de otros proveedores, NS1 incluso admite DNSSEC como proveedor secundario u opción de DNS redundante a través de nuestra oferta de DNS dedicado.