La inseguridad del DNS alarma a gobiernos y empresas
El ICANN crea un departamento de seguridad tras ser advertido de que es posible un ataque a los 13 servidores principales, que echaría abajo Internet
La seguridad del sistema de nombres de dominios (DNS) está en entredicho. La Internet Corporation for Assigned Names and Numbers (ICANN), organismo privado bajo tutela estadounidense que gestiona los dominios de Internet, nombró la semana pasada a un pionero de la red, Stephen Crocker, jefe del Comité de Seguridad y Estabilidad. La creación del departamento es la primera reacción a la inquietud entre empresas y gobiernos por la fiabilidad del Sistema de Nombres de Dominio (DNS).
Diversos expertos avisaron en noviembre de que era posible un ataque contra los 13 servidores principales de nombres de dominio, que echaría abajo Internet al completo. La empresa responsable de estos equipos, Verisign, niega que sean inseguras.
El National Infrastructure Protection Center avisó luego: 'Compañías y proveedores necesitan examinar su arquitectura de DNS'. En enero, las organizaciones que llevan dominios de primer nivel pidieron a ICANN garantías escritas sobre la estabilidad de los servidores raíz. Se negó.
Pero los expertos advierten de que el gran problema radica en la misma base del sistema, el protocolo DNS, lleno de fallos, que conecta a millones de servidores de nombres. DNS es una gran base de datos jerárquica, que convierte las direcciones alfabéticas en numéricas. Todos los dominios están conectados a dos o más servidores de nombres, para ser localizados por los servicios de Internet.
Los fallos del DNS lo mantienen imbatible en los primeros puestos de 'las 20 vulnerabilidades más críticas' que enumera el SANS Institute: 'Más del 50% de los servidores tienen fallos. En minutos, se podrían borrar datos de un sistema, tener acceso privilegiado o atacar desde allí a otros'. Lo confirma Pablo Carretero, consultor de seguridad de S21sec: 'En las auditorías, siempre encontramos alguna vulnerabilidad (mala configuración, no tener los últimos parches) en el servidor DNS, lo que puede desembocar en una intrusión'.
Jesús Cea, de Hispasec, destaca el ataque llamado 'DNS Spoofing', que provoca que 'cuando intentas conectarte a un sitio, vas a otro. Y cuando un servidor intenta verificar tu identidad, ve la de otro'. Ésta es la principal debilidad del sistema, según el experto en seguridad Tahum: 'El protocolo DNS no posee métodos de autentificación, lo que permite engañar a la máquina que solicita una resolución de nombres. Así, se podría modificar la IP asociada al dominio de un banco y enviar a los clientes a la competencia'.
El nuevo protocolo DNSSEC, que utiliza criptografía y firmas digitales para la identificación, acabaría con estos problemas. Pero, reconoce Cea, 'DNSSEC no consigue despegar, igual que IPv6 y otros protocolos modernos, porque suelen ser más costosos en términos de recursos. Además, los viejos no funcionan tan mal y hay tantos millones de máquinas que el coste de la migración sería brutal'.
'Las irregularidades pueden denunciarse'
Los expertos de ICANN también han avisado del secuestro de dominios. Este ataque no se aprovecha de fallos técnicos, sino de los métodos defectuosos de autentificación en la comunicación entre el propietario del dominio y el registrador. Consiste en enviar un correo al registrador en la que se hacen pasar por la víctima y piden un cambio en la propiedad del dominio. El estafador calcula el tiempo que el registrador tardará en solicitar una confirmación del cambio al titular y, antes de que éste responda, envía un segundo correo confirmando al registrador que desea el cambio. Recuperar un dominio puede costar meses y litigios. Según el abogado Javier Maestre, 'en la gestión de dominios últimamente se observan bastantes irregularidades que pueden denunciarse. Si alguien se hace pasar por otro, está suplantando identidad, y si no se han actualizado los contactos técnicos y administrativos en la base de datos del registrador, es un error en la gestión'.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.