Durante el primer trimestre de 2022, en un análisis de más de 7 billones de consultas de DNS por día, aproximadamente uno de cada 10 dispositivos monitoreados se comunicó al menos una vez con dominios asociados con malware, ransomware, phishing o servidores de comando y control (conocidos como C2), de acuerdo con una investigación reciente de Akamai.
Los análisis identificaron y bloquearon amenazas que incluían malware, ransomware, phishing y botnets. Al profundizar en los datos de estos dispositivos, los expertos observaron que el 63% de ellos se comunicaba con dominios de malware o ransomware, el 31% se comunicaba con dominios de phishing y el 4% se comunicaba con dominios C2.
Según Hugo Werner, vicepresidente Regional de Akamai para LATAM, el DNS es un sistema que codifica los dominios de los sitios en números IP. “Tan pronto como un usuario ingresa en la barra del navegador la dirección del sitio web al que desea acceder, entra en juego un sistema de servidores y una base de datos, este sistema es DNS. Todo Internet funciona en base a números IP, es decir, necesitan un DNS para transformar lo tecleado en direcciones IP, y esto explica la popularidad de este tipo de ataques. Las grandes empresas son las mayores víctimas por la cantidad de información valiosa que tienen y procesan”, comentó.
Ataques DNS
Un ejemplo reciente de un ataque DNS fue el llevado a cabo por el grupo de hackers Lapsus$ Gang. Estos hackers atacaron a la empresa de autenticación Okta, lo que provocó una filtración de datos que expuso detalles del 2,5 % de sus clientes, y los hizo extremadamente vulnerables. “Como el DNS es parte de la estructura fundamental para el funcionamiento de casi todas las transacciones y conexiones realizadas a través de Internet, las organizaciones aún son vulnerables a este tipo de ataques”, explicó Hugo Werner. Las empresas deben garantizar la respuesta al ataque y la adecuada divulgación de los incidentes debe ser implementado por los equipos de ciberseguridad.
Situaciones como robo de contraseñas y datos personales, redirección de sitios web para engañar a los usuarios, páginas caídas durante horas debido a un ataque coordinado, son parte del rango de consecuencias de los ataques DNS.
Los ataques DNS son de los más populares en el mundo de la ciberdelincuencia y pueden ocurrir de diversas maneras. Las estafas relacionadas con criptomonedas en el último año, por ejemplo, han tenido un aumento significativo en la cantidad de ataques y utilizan diferentes técnicas como ransomware, extorsión DDoS, malware y lo que es más importante, phishing. En 2021, hubo un aumento del 50% en los ataques de phishing que abusaban de las agencias de criptomonedas para robar las credenciales de los consumidores.
Al analizar qué empresas están siendo imitadas en las estafas de phishing, al categorizarlas por sector, es posible observar que las empresas de alta tecnología y financieras lideran el ranking con 32% y 31%, respectivamente.
Cybersquatting es otro ejemplo, una estafa que intenta imitar el dominio (sitio web) de una marca para engañar a las víctimas. Por ejemplo, los atacantes pueden usar el dominio “banco.co” para imitar el “banco.com” original y hacer que el sitio web tenga el mismo aspecto. Según la investigación de Akamai, se capturaron más de 120 000 dominios potencialmente dañinos mediante técnicas de ciberocupación.
Finalmente, los expertos de Akamai detectaron más de 10,000 muestras de JavaScript malicioso utilizadas como arma para la infección de malware, como uno de los lenguajes de programación más utilizados para dar forma y crear funciones de sitios web. JavaScript se utiliza para robar información confidencial, como números de tarjetas de crédito.
Pero ¿cómo protegerse de los ataques de DNS?
Hugo Werner explicó que hay algunos puntos clave para protegerse contra los ataques del servidor DNS. Tener más de un proveedor de servicios DNS siempre es una buena idea, con dos o tres, o incluso más, según el caso. De esta forma, usuarios y empresas evitan depender de una sola infraestructura para mantener sus servicios disponibles y en funcionamiento.
Además, es importante monitorear las comunicaciones de DNS en tiempo real para que se pueda identificar rápidamente cualquier forma de actividad inusual y/o maliciosa, y tomar las medidas de seguridad adecuadas para solucionar el problema. Se recomienda realizar escaneos regulares para combatir virus/malware, y mantener todos los sistemas actualizados.
“El ransomware, el malware, los ataques a la cadena de suministro y contra los servicios criptográficos seguirán siendo evidentes en 2022, porque aún son un vector de ataque altamente efectivo y explotable. Por lo cual debemos aprovechar al máximo todas las herramientas de ciberseguridad”.