Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
SEGURIDAD

La inseguridad del DNS alarma a gobiernos y empresas

El ICANN crea un departamento de seguridad tras ser advertido de que es posible un ataque a los 13 servidores principales, que echaría abajo Internet

La seguridad del sistema de nombres de dominios (DNS) está en entredicho. La Internet Corporation for Assigned Names and Numbers (ICANN), organismo privado bajo tutela estadounidense que gestiona los dominios de Internet, nombró la semana pasada a un pionero de la red, Stephen Crocker, jefe del Comité de Seguridad y Estabilidad. La creación del departamento es la primera reacción a la inquietud entre empresas y gobiernos por la fiabilidad del Sistema de Nombres de Dominio (DNS).

Diversos expertos avisaron en noviembre de que era posible un ataque contra los 13 servidores principales de nombres de dominio, que echaría abajo Internet al completo. La empresa responsable de estos equipos, Verisign, niega que sean inseguras.

El National Infrastructure Protection Center avisó luego: 'Compañías y proveedores necesitan examinar su arquitectura de DNS'. En enero, las organizaciones que llevan dominios de primer nivel pidieron a ICANN garantías escritas sobre la estabilidad de los servidores raíz. Se negó.

Pero los expertos advierten de que el gran problema radica en la misma base del sistema, el protocolo DNS, lleno de fallos, que conecta a millones de servidores de nombres. DNS es una gran base de datos jerárquica, que convierte las direcciones alfabéticas en numéricas. Todos los dominios están conectados a dos o más servidores de nombres, para ser localizados por los servicios de Internet.

Los fallos del DNS lo mantienen imbatible en los primeros puestos de 'las 20 vulnerabilidades más críticas' que enumera el SANS Institute: 'Más del 50% de los servidores tienen fallos. En minutos, se podrían borrar datos de un sistema, tener acceso privilegiado o atacar desde allí a otros'. Lo confirma Pablo Carretero, consultor de seguridad de S21sec: 'En las auditorías, siempre encontramos alguna vulnerabilidad (mala configuración, no tener los últimos parches) en el servidor DNS, lo que puede desembocar en una intrusión'.

Jesús Cea, de Hispasec, destaca el ataque llamado 'DNS Spoofing', que provoca que 'cuando intentas conectarte a un sitio, vas a otro. Y cuando un servidor intenta verificar tu identidad, ve la de otro'. Ésta es la principal debilidad del sistema, según el experto en seguridad Tahum: 'El protocolo DNS no posee métodos de autentificación, lo que permite engañar a la máquina que solicita una resolución de nombres. Así, se podría modificar la IP asociada al dominio de un banco y enviar a los clientes a la competencia'.

El nuevo protocolo DNSSEC, que utiliza criptografía y firmas digitales para la identificación, acabaría con estos problemas. Pero, reconoce Cea, 'DNSSEC no consigue despegar, igual que IPv6 y otros protocolos modernos, porque suelen ser más costosos en términos de recursos. Además, los viejos no funcionan tan mal y hay tantos millones de máquinas que el coste de la migración sería brutal'.

'Las irregularidades pueden denunciarse'

Los expertos de ICANN también han avisado del secuestro de dominios. Este ataque no se aprovecha de fallos técnicos, sino de los métodos defectuosos de autentificación en la comunicación entre el propietario del dominio y el registrador. Consiste en enviar un correo al registrador en la que se hacen pasar por la víctima y piden un cambio en la propiedad del dominio. El estafador calcula el tiempo que el registrador tardará en solicitar una confirmación del cambio al titular y, antes de que éste responda, envía un segundo correo confirmando al registrador que desea el cambio. Recuperar un dominio puede costar meses y litigios. Según el abogado Javier Maestre, 'en la gestión de dominios últimamente se observan bastantes irregularidades que pueden denunciarse. Si alguien se hace pasar por otro, está suplantando identidad, y si no se han actualizado los contactos técnicos y administrativos en la base de datos del registrador, es un error en la gestión'.

* Este artículo apareció en la edición impresa del Jueves, 7 de marzo de 2002

Más información