¿Qué es la seguridad DNS?

La seguridad DNS mantiene a raya a los “malos actores” y sus dominios maliciosos mediante la aplicación de métodos de cifrado, autenticación e inteligencia de amenazas.

¿Por qué es necesaria la seguridad DNS? En gran parte debido al papel central y clave que desempeñan los servicios DNS en la comunicación moderna. El DNS sirve como la “guía telefónica” (o lista de directorios) de Internet, ayudando a hacer coincidir las solicitudes de dominio con las direcciones IP.

Para tener una idea real de lo esencial que es esa actividad, considere por un momento cuántas veces es probable que necesite estos servicios de búsqueda durante un día promedio. Ahora multiplique esa cifra para representar semanas, meses y años, y podrá ver claramente qué parte constante y continua de la computación moderna es esta actividad.

El DNS también es una actividad rica en direcciones IP, que constituyen datos potencialmente valiosos y confidenciales. Además, la tecnología de capa DNS tiene varias vulnerabilidades que la dejan expuesta a diversas formas de ciberataques.

Los malos actores (también llamados actores de amenazas) son entidades que tienen los medios para ejecutar ciberataques u otras acciones dañinas. Pero, ¿quiénes son estas personas o grupos? En estos días, no hay escasez de posibilidades:

• Hackers que esperan obtener fuertes rescates de las víctimas.

• Facciones políticas que tienen un motivo de queja.

• Disruptores sin ningún motivo filosófico aparente.

• Actividades terroristas patrocinadas por el estado de naciones rebeldes.

Lo que realmente asusta de todos estos delincuentes potenciales es lo bien que son capaces de ocultar sus propias identidades, mientras violan despiadadamente las identidades de los demás.

Los ataques podrían originarse desde cualquier lugar donde los proveedores de servicios ofrezcan wifi, desde personas que trabajan en un sótano residencial al final de su calle hasta grupos de delincuentes cibernéticos dedicados que operan en lugares ocultos de todo el mundo. Esta capacidad superior de enmascaramiento los encubre con una amplia cobertura para evitar la detección, de modo que puedan continuar implementando sus nefastos esquemas.

La seguridad DNS gira en torno a cuatro procesos independientes de ciberseguridad.

Una mayor seguridad y una mayor privacidad son los principales beneficios de seguir los principios generales de la seguridad DNS, tal como se manifiestan de esta manera.

Los ataques de denegación distribuida del servicio (DDoS) están diseñados para sabotear el flujo normal del tráfico DNS. Al inundar el objetivo previsto con tanto tráfico web, el sistema objetivo se obstruye por completo.

Imagínese sentirse enormemente abrumado, como si estuviera operando un pequeño restaurante en la carretera y de repente miles de clientes hambrientos se agolpan, todos exigiendo ser atendidos en ese momento. Los ataques de DDoS funcionan igual, por el gran poder de sus números.

También hay ataques de amplificación de DNS, que violan la seguridad de la red mediante el uso de servidores DNS abiertos y disponibles para amplificar el tráfico, todo con la expectativa de saturar un servicio o dominio de Internet objetivo. (Se conoce como botnet cuando muchas computadoras comprometidas se utilizan de esta manera). Los ataques de amplificación utilizan una dirección IP de origen falsificada (que pertenece a una víctima prevista) para dirigir cantidades masivas de tráfico de red no deseado a esa víctima.

La seguridad DNS contrarresta los ataques de DDoS de muchas maneras. En primer lugar, la seguridad DNS impone el uso de firmas digitales como paso previo a la aceptación de transferencias de datos de DNS. También utiliza la detección de anomalías para identificar amenazas únicas de DNS mediante algoritmos impulsados por IA.

Otro método, la limitación de velocidad, restringe la cantidad de solicitudes de DNS que puede realizar un solo cliente, en función de cuánto tiempo transcurre. La validación de zona DNS exige que solo los registros DNS confirmados y válidos se puedan borrar para unirse al flujo de tráfico DNS normal.

Para establecer un DNS verdaderamente seguro, es esencial que se alinee y apoye el ideal de ciberseguridad de confianza cero mediante el cual “nunca confiamos, siempre verificamos”. Eso significa que el acceso no se concede a ningún recurso (por insignificante que parezca) sin que primero se verifique la identidad del solicitante y luego se autorice el acceso.

Las empresas que adoptan plenamente el ideal de confianza cero comparten puntos en común notables, como se describe en un informe sobre la seguridad de confianza cero emitido por el IBM Institute for Business Value. Este informe analiza los "pioneros de la confianza cero" y las acciones específicas que aproximadamente el 23 % de las empresas realizan para aprovechar al máximo los principios prácticos de la confianza cero.

Los solucionadores de DNS desempeñan un papel clave en la aplicación de los principios prácticos de la confianza cero. Los solucionadores actúan como intermediarios. Una vez que un usuario solicita un determinado sitio web, el solucionador DNS maneja esa solicitud. Luego escanea toda la infraestructura DNS y examina los servidores DNS, buscando la dirección IP correcta.

Si el sistema DNS no puede encontrar esa dirección IP, los solucionadores de DNS llegan fuera del sistema a servidores de nombres autorizados. Estos servidores de nombres proporcionan la “última palabra” en la dirección IP buscada emitiendo una dirección IP confirmada. El solucionador de DNS recursivo luego guarda esa dirección IP en la memoria caché para su custodia y acceso interno rápido la próxima vez que sea necesario.

La seguridad DNS se beneficia de numerosos servicios y herramientas de seguridad. Los sistemas de detección de amenazas impulsados por IA proporcionan automatización. Lo mismo ocurre con los solucionadores de DNS y otras soluciones de seguridad que se benefician del machine learning y de la inteligencia de amenazas.

Estos sistemas y soluciones no solo automatizan los procesos necesarios, sino que también vigilan de forma proactiva el tráfico DNS en tiempo real. DNSSEC también ayuda a automatizar los procesos de seguridad al proteger los protocolos de Internet de ataques mediante secuestro de DNS, phishing y tunelización, ataques cibernéticos que pueden descarrilar seriamente el tráfico DNS y dañar la experiencia del usuario.

Además, la seguridad DNS ayuda a proporcionar protección a los objetos con capacidades de Internet de las cosas (IoT). La seguridad DNS protege las infraestructuras de IoT de varias maneras, como bloquear los dispositivos de IoT para que no interactúen con los servidores de comando y control y ser reclutados como nuevas partes de botnets.

Mantener la ciberseguridad es un trabajo de tiempo completo, considerando que los ataques de DNS sofisticados y en evolución parecen conservar su capacidad de adaptarse con éxito constantemente. Los siguientes tipos de soluciones de seguridad DNS se utilizan principalmente para contrarrestar este tipo de ataques y mejorar la ciberseguridad:

• Cortafuegos: cada vez que se genera una solicitud de DNS, se detiene en los cortafuegos de seguridad, que evalúan la solicitud con listas de direcciones asociadas a sitios web y dominios maliciosos. Los cortafuegos también ofrecen protección contra intentos de phishing y malware.

• Detección de tunelización DNS: los esfuerzos de tunelización de DNS incluyen la exfiltración de datos, en la que los malos actores rastrean datos confidenciales y sensibles y los extraen de una red o sistema disfrazados de datos que se transfieren inocentemente. Otro tipo de esfuerzo es la comunicación de comando y control, que ayuda a ejecutar un secuestro de DNS.

• Servicios de DNS: los servicios de DNS permiten una gestión proactiva de la protección contra amenazas que mantiene a raya a los sitios web dañinos. Para ello, evalúa las solicitudes de DNS con respecto a las fuentes de amenazas y las políticas establecidas.