Contenido

¿Qué es el DNS colgante?

Contenido

Para entender el DNS colgante, tiene que entender los fundamentos del DNS. El DNS es un protocolo que traduce los nombres de dominio fáciles de recordar y reconocer, como paloaltonetworks.com, a una dirección IP numérica. Las direcciones IP de cada dominio se almacenan en servidores DNS autoritativos, que actúan como las guías telefónicas de Internet. Cuando escribe la dirección de un sitio web en un navegador, éste se conecta primero a un servidor DNS recursivo y formula la pregunta: "¿Cuál es la dirección IP de paloaltonetworks.com?". El servidor DNS recursivo envía una consulta al servidor autoritativo para obtener la respuesta.

 

Qué es un CNAME

Los tipos comunes de registros almacenados en un servidor DNS autoritativo son el inicio de autoridad (SOA), las direcciones IP, los servidores de nombres (NS), los punteros para búsquedas DNS inversas (PTR) y los registros de nombres canónicos (CNAME).

Un CNAME es un tipo de registro de la base de datos DNS que actúa como alias de otro dominio y apunta a un dominio en lugar de a una dirección IP. Los registros CNAME se utilizan normalmente para apuntar varios sitios web propiedad de la misma organización a un sitio web principal, registrar los mismos dominios en distintos países para que cada dominio apunte al dominio principal, y mucho más.

Supongamos que su empresa, con el dominio superempresa[.]com, lanza un nuevo servicio o producto y crea un nuevo subdominio con el nombre de superproducto[.]supercompañía[.]com. Cuando este subdominio se establece como un alias del dominio principal, que todo el mundo reconoce, el subdominio, superproducto[.]superempresa[.]com, tendrá un registro CNAME que apunta a superempresa[.]com.

 

DNS colgante

Mientras que los registros DNS apuntan nombres de dominio a otros dominios, cuando se abandona un dominio, ese registro DNS queda colgando, donde ahora se denomina registro DNS colgante. Al estar abandonado, este dominio puede ser fácilmente secuestrado por actores de amenazas y utilizado para obtener acceso inicial a una red. Los atacantes suelen utilizar esta técnica de DNS colgante para el phishing y otros ataques de ingeniería social. Por ejemplo, supongamos que superproduct.supercomany.com apunta a otro dominio, como superproduct.com, o a un host o IP externo, como compute1234.amazonaws.com, y la empresa abandona el nombre superproduct.com o el nodo de computación que lo aloja, pero olvidan que el CNAME superproduct.supercomany.com sigue apuntando al dominio o hostname/IP externo que caduca. Esto significa ahora que el dominio principal supercomany.com es primordial para que los atacantes alojen su sitio malicioso. Un pirata informático puede instalar un certificado SSL con superproduct.supercomany.com en él y distribuir contenido malicioso a costa de la reputación de su empresa.

Para obtener más información sobre la seguridad DNS de Palo Alto Networks, visite https://www.paloaltonetworks.lat/network-security/advanced-dns-security. Para más información sobre los DNS colgantes, lea nuestro blog, Dominios colgantes: Amenazas a la seguridad, detección y prevalencia.

 

Preguntas frecuentes sobre DNS colgantes

Los registros DNS colgantes pueden plantear importantes riesgos de seguridad porque apuntan a dominios o servicios que ya no son válidos o que no están bajo el control del propietario del dominio. Los atacantes pueden explotar estos registros registrando dominios caducados, haciéndose con el control de subdominios y utilizándolos para interceptar tráfico, robar datos confidenciales, realizar ataques de phishing o distribuir malware. Esto puede dar lugar a accesos no autorizados a los sistemas, violaciones de datos o suplantación de servicios legítimos.
Una toma de control de subdominio se produce cuando un atacante obtiene el control de un subdominio que sigue activo en los registros DNS pero que apunta a un recurso que ya no está bajo el control del propietario del dominio. Los registros DNS colgantes, especialmente los registros CNAME o MX, a menudo conducen a la toma de subdominios. Por ejemplo, supongamos que un registro CNAME apunta a un servicio externo dado de baja. En ese caso, un atacante puede registrar ese dominio externo y secuestrar el subdominio, lo que le permitirá alojar contenidos maliciosos o interceptar comunicaciones destinadas al dominio legítimo.
Las organizaciones pueden protegerse auditando y actualizando regularmente sus registros DNS para eliminar los que ya no sean necesarios o apunten a recursos dados de baja. También deben implementar medidas de seguridad como la activación de DMARC (autenticación, notificación y conformidad de mensajes basados en dominios) y DKIM (correo identificado con claves de dominio) para la autenticación del correo electrónico, que pueden ayudar a evitar el uso indebido de los registros DNS en ataques de phishing o suplantación de identidad. Además, el uso de registros alias DNS vinculados a recursos activos puede evitar que se produzcan referencias colgantes.
Las vulnerabilidades de DNS colgantes pueden explotarse de varias formas, como a través de registros DNS MX que apuntan a dominios caducados, lo que permite a los atacantes interceptar correos electrónicos o utilizar el dominio para campañas de phishing. Del mismo modo, los atacantes pueden apuntar a los registros CNAME no utilizados para apoderarse de subdominios y alojar contenido malicioso. Las organizaciones con múltiples dominios y subdominios deben prestar mucha atención a estos registros para evitar su uso no autorizado.
Los registros DNS colgantes preocupan a organizaciones de todos los tamaños, desde las startups hasta las grandes empresas. Aunque las grandes organizaciones pueden tener infraestructuras de DNS más extensas y, por tanto, un mayor riesgo de que se pasen por alto registros, incluso las pequeñas empresas pueden ser un objetivo si sus registros DNS no se administran adecuadamente. La supervisión y el mantenimiento regulares de las entradas DNS son fundamentales para reducir este riesgo, independientemente del tamaño de la organización.
Contenido relacionado
Proteja su red con seguridad DNS avanzada
Aprenda a salvaguardar su red de los ataques, evitar las filtraciones de datos y garantizar una administración de la seguridad sin fisuras.
Vídeo: Seguridad DNS avanzada de Palo Alto Networks
Cierre la puerta a las amenazas de la capa DNS con la solución de seguridad DNS más completa del sector.
Documento técnico sobre seguridad DNS avanzada
Proteja automáticamente su tráfico DNS con Precision AI, una plataforma de análisis basada en la nube.
Descubra la seguridad DNS avanzada
Detenga los ataques de secuestro de DNS en tiempo real con la seguridad avanzada de DNS de Palo Alto Networks con Precision AI.

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas