Suplantación de DNS
¿Qué es Suplantación de DNS?
Suplantación de DNSAtaque que inyecta respuestas DNS falsificadas para redirigir a las víctimas de un dominio legítimo a una IP controlada por el atacante.
La suplantación de DNS manipula el proceso de resolución del sistema de nombres de dominio para que la consulta de un nombre de host legítimo devuelva una dirección IP elegida por el atacante. Puede lograrse alterando archivos hosts, interceptando el tráfico del resolutor, explotando identificadores de transacción débiles o envenenando las cachés de resolutores recursivos. Una vez redirigida la víctima, los atacantes recolectan credenciales, distribuyen malware o realizan interceptación de tipo man-in-the-middle de sesiones TLS con certificados falsos.
La técnica clásica es el ataque de envenenamiento de caché de Dan Kaminsky en 2008. Como los resolutores antiguos autenticaban las respuestas usando únicamente un identificador de transacción de 16 bits, un atacante fuera de la ruta podía inundar un resolutor con respuestas falsificadas para subdominios aleatorios inexistentes, ganando la carrera contra el servidor autoritativo real e inyectando un registro NS envenenado para todo el dominio. La corrección, estandarizada en RFC 5452, añadió la aleatorización del puerto de origen, convirtiendo un espacio de búsqueda de unas 65.000 posibilidades en miles de millones de combinaciones. Una protección más fuerte proviene de DNSSEC (RFC 4033–4035), que firma criptográficamente los registros para que los resolutores puedan rechazar respuestas falsificadas, y del transporte cifrado como DoH (RFC 8484) y DoT (RFC 7858), que impide la manipulación en la ruta en redes Wi-Fi compartidas.
sequenceDiagram participant V as Victima participant R as Resolutor participant A as Atacante participant N as Servidor de nombres real V->>R: Consulta bank.example? R->>N: Resolucion recursiva A-->>R: Respuesta falsa (TXID/puerto adivinado) -> IP del atacante N-->>R: Respuesta genuina (llega demasiado tarde) R-->>V: Respuesta envenenada en cache V->>A: Se conecta a la IP del atacante
Las defensas incluyen validación DNSSEC, transporte cifrado (DoH/DoT), aleatorización de puertos de origen e identificadores de transacción, endurecimiento del resolutor y supervisión de patrones anómalos de resolución.
● Ejemplos
- 01
Respuestas falsas que redirigen consultas al dominio bancario hacia una página de phishing.
- 02
Atacantes en una Wi-Fi abierta respondiendo consultas DNS antes que el resolutor legítimo.
● Preguntas frecuentes
¿Qué es Suplantación de DNS?
Ataque que inyecta respuestas DNS falsificadas para redirigir a las víctimas de un dominio legítimo a una IP controlada por el atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Suplantación de DNS?
Ataque que inyecta respuestas DNS falsificadas para redirigir a las víctimas de un dominio legítimo a una IP controlada por el atacante.
¿Cómo defenderse de Suplantación de DNS?
Las defensas contra Suplantación de DNS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Suplantación de DNS?
Nombres alternativos comunes: Falsificación de DNS.