La infraestructura crítica de Internet que más se pasa por alto

Hay muchas partes de Internet que damos por sentadas. Ancho de banda. Almacenamiento en la nube. Incluso firewalls. Pero pocos son tan silenciosamente imprescindibles —o tan peligrosamente descuidados— como el Sistema de Nombres de Dominio, más conocido como DNS.

A pesar de ser el primer punto de contacto en casi todas las transacciones digitales, el DNS sigue tratándose como un servicio en segundo plano: una centralita invisible que «simplemente funciona» y, por lo tanto, no necesita mucha atención. Rara vez se habla de ello en las salas de juntas. Es aún más raro que se evalúe para determinar el riesgo. Y la mayoría de las veces, viene con algo más (tu registrador de dominios, tu proveedor de CDN o tu plan de alojamiento), lo que hace que parezca una casilla de verificación en lugar de una elección.

Pero esta es la incómoda verdad: el DNS es uno de los elementos más frágiles, más expuestos y más fácilmente interrumpidos de la infraestructura moderna de Internet. Y por alguna razón, seguimos tratando el DNS como si fuera un complemento de 5 dólares.

‍

Por qué el DNS es tan fácil de ignorar y por qué eso es un problema

Parte del problema es que el DNS parece engañosamente simple. Escribes un dominio en tu navegador y, como por arte de magia, obtienes un sitio web. Entre bastidores, una jerarquía de solucionadores recursivos y servidores autoritativos trabajan en conjunto para responder a tu consulta. Lo hacen de forma tan fiable que, con el tiempo, asumimos que no hay de qué preocuparse.

‍

No ayuda el hecho de que el DNS a menudo esté incluido con algo más. Tu registrador te ofrece un panel de control, tu CDN ofrece un «DNS integrado» y tu proveedor de servicios en la nube te ofrece una zona gratuita cuando activas un balanceador de cargas. La interfaz de usuario es aburrida. El costo es insignificante. No hay ningún panel que parpadee en rojo cuando alguien está envenenando silenciosamente tu caché. El DNS se convierte en una línea divisoria, no en una línea de defensa.

‍

Y dado que «simplemente funciona» la mayoría de las veces, las organizaciones asumen que siempre funcionará. Hasta que no lo haga. Cuando el DNS falla, no lo hace correctamente. No hay picos de latencia. No hay pantallas de gestión de errores. Simplemente dejas de existir en Internet. Los usuarios no pueden encontrar tu sitio, tus API se agotan y tu correo electrónico rebota. Incluso tus controles de seguridad pueden desaparecer, ya que todos tus firewalls, proxies y proveedores de identidad dependen del DNS para funcionar.

‍

El DNS es, literalmente, la puerta de entrada a tu espacio digital y, cuando está cerrado de golpe, no entra nada más. Sin embargo, en la mayoría de los planes de respuesta a incidentes se sigue tratando como una nota a pie de página.

‍

Las dos dimensiones críticas: disponibilidad e integridad

Si el DNS debe cumplir dos promesas, son la disponibilidad y la integridad. Irónicamente, esas son precisamente las dos cualidades que descuidamos habitualmente.

Por el lado de la disponibilidad, el DNS es un objetivo de DDoS atractivo. Se encuentra en el límite. Tiene que estar expuesto al trabajo. Y dado que muchos proveedores tienen una infraestructura centralizada, no es necesario trabajar mucho para aprovechar mucho. Si inunda un servidor DNS con suficientes consultas de subdominio únicas y aleatorias, podrá reducir la resolución para millones de usuarios.

Por el lado de la integridad, los riesgos son más sutiles y posiblemente más aterradores. Si alguien puede poner en peligro tu DNS (secuestrando tu cuenta de registrador, envenenando la caché de un solucionador o manipulando los registros anteriores), no es necesario que irrumpa en tu infraestructura. Simplemente pueden redirigir el tráfico a su infraestructura. Los usuarios piensan que están hablando con usted; en realidad, están siendo objeto de suplantación de identidad, desfiguración o algo peor. Es limpio, silencioso y es fácil pasarlo por alto.

Lo que hace que estos dos problemas sean más dolorosos es la apatía organizacional. El DNS es con frecuencia una responsabilidad compartida, es decir, el trabajo de nadie. No es raro encontrar equipos de operaciones que ni siquiera saben dónde están sus servidores de nombres autorizados, y mucho menos a quién llamar si se pierden los registros.

‍

Prueba en los titulares: cuando el DNS se estropea, todo se estropea

Si todo esto suena teórico, no lo es. Las noticias están llenas de ejemplos de fallas relacionadas con el DNS y cuentan la misma historia: pequeños problemas en la capa de DNS pueden provocar fallas en cascada que parecen un ciberapocalipsis.

• Ataque DDoS de Dyn (2016): Uso de una botnet de cámaras IoT infectadas (¿recuerdas Mirai?) , los atacantes inundaron la plataforma de DNS gestionada por Dyn con solicitudes falsas. ¿El resultado? Twitter, Spotify, GitHub, Reddit y Airbnb estuvieron a oscuras durante horas. Esos sitios no fueron pirateados. Simplemente se volvieron inalcanzables porque su proveedor de DNS estaba abrumado.
• El ejército electrónico sirio (2013): Al comprometer las credenciales de los registradores de dominios de The New York Times y Twitter, simplemente iniciaron sesión, cambiaron los registros de DNS y señalaron al mundo las páginas desfiguradas. Sin vulnerabilidades, sin malware, solo con el control del DNS. Controle los nombres, controle la identidad.
• Fallos de DNS en todo el país: Países enteros se han quedado sin conexión cuando los principales solucionadores de DNS de los ISP se bloquearon debido a la carga o se configuraron mal. Cuando un solucionador deja de funcionar y no hay redundancia, millones de personas pierden el acceso a Internet en general. La conectividad de última milla es irrelevante si no puedes convertir un dominio en una IP.
  ‍

El problema de la visibilidad: estás volando a ciegas

Incluso en las organizaciones que se enorgullecen de su postura de seguridad, el DNS tiende a ser un punto ciego. Pregúntale a un equipo de operaciones o de seguridad promedio qué es lo que monitorizan para el DNS y es probable que obtengas alguna variación de:

• «Hacemos un seguimiento de los recuentos de consultas».
• «Recibimos alertas si el servicio no funciona».

Eso es todo. Muy pocos equipos disponen de métricas sobre si determinadas consultas aumentan inesperadamente, si los errores de resolución se correlacionan con un comportamiento malintencionado, si los TTL se respetan correctamente en todas las regiones o si los registros se propagan de forma coherente.

¿Por qué importa eso? Porque la actividad anómala del DNS suele ser la primera señal de un ataque. Un aumento repentino en las respuestas de NXDOMAIN puede significar que alguien está buscando subdominios. Las discrepancias extrañas en el TTL podrían indicar intentos de envenenamiento de la caché. Pero si tu visibilidad termina en «arriba o abajo», estarás prácticamente ciego hasta que el radio de la explosión sea evidente.

‍

DNS y DDoS: un vector de ataque ideal

Desde la perspectiva de un atacante, el DNS es casi demasiado bueno para ser verdad. Tiene que ser público. Por lo general, se encuentra fuera de la mayoría de las cadenas de herramientas de seguridad. Además, muchos proveedores comparten la infraestructura entre los clientes. Puede abordarla desde varios ángulos: inundaciones volumétricas que abruman a los solucionadores, ataques por reflejo que convierten las consultas de DNS en tráfico amplificado o ataques de «tortura hidráulica» que generan un sinfín de búsquedas únicas en los subdominios, evitando las cachés y limitando los orígenes.

¿La peor parte? Estos ataques suelen pasar desapercibidos hasta que están en toda regla. Unos pocos milisegundos adicionales de tiempo de resolución no activan ninguna alarma. Un puñado de respuestas de SERVFAIL se atribuyen a que «Internet es extraño». Cuando los usuarios se quejan abiertamente de que «el sitio no funciona», ya estás dando un paso atrás.

La mayoría de las estrategias antiDDoS no abordan en absoluto el DNS. Se centran en proteger las capas web y de aplicaciones. El tráfico de DNS se transfiere a un solucionador externo o nunca pasa por su infraestructura de mitigación. Esto significa que, a menos que hayas desarrollado deliberadamente la resiliencia del DNS, habrás dejado la puerta principal sin vigilancia y, al mismo tiempo, has reforzado las paredes.

‍

Entonces, ¿qué deberían hacer realmente las organizaciones? (La parte que la mayoría ignora)

La deprimente realidad es que muchas organizaciones solo prestan atención al DNS después de haber sido mordidas. Para entonces, ya es demasiado tarde para saber dónde están alojadas tus zonas, cuál es tu estrategia de conmutación por error o si tienes registros de lo que ha ocurrido.

Si el DNS está por encima de todo lo demás, merece tanta atención arquitectónica como sus firewalls y balanceadores de carga. Posiblemente más. Entonces, ¿qué aspecto tiene eso?

‍

La redundancia no es negociable

Aloje sus zonas con más de un proveedor autorizado, idealmente en diferentes redes. No se trata de rendimiento, sino de supervivencia. Si un proveedor es eliminado (mediante un ataque, una mala configuración o una adquisición), tu dominio permanece en línea.

‍

Trate los registros de DNS como información sobre amenazas, no solo como datos de depuración

El análisis de patrones de las consultas puede indicarle quién está hurgando en su infraestructura. Los picos en las respuestas de NXDOMAIN pueden ser una advertencia temprana de un ataque de subdominio por fuerza bruta. Pero no verás esos patrones si lo que estás monitorizando es una luz verde que dice «servicio activo».

‍

Asegúrese de que la integridad sea verificable

El DNSSEC no es perfecto, pero actualmente es una de las únicas formas de firmar criptográficamente sus registros, garantizando que las respuestas no se hayan manipulado durante el camino. Sí, su implementación puede resultar complicada, especialmente si tu pila de DNS está distribuida entre varios proveedores, pero su capacidad para prevenir los ataques de redireccionamiento silencioso hace que valga la pena el esfuerzo.

‍

No olvide la privacidad y la interceptación

Las consultas DNS tradicionales se envían sin cifrar. Los protocolos emergentes, como el DNS sobre HTTPS (DoH) y el DNS sobre TLS (DoT), cifran estas búsquedas y protegen a los usuarios de redes hostiles. Los navegadores y sistemas operativos móviles los adoptan de forma predeterminada. Esto tiene implicaciones en la forma en que su infraestructura interactúa con los clientes. Como mínimo, debe comprender cómo las elecciones de DNS de sus usuarios afectan a la forma en que se comunican con usted.

‍

Sepa cómo se comportan sus registros a nivel mundial

Los retrasos en la propagación y las cachés inconsistentes pueden provocar interrupciones regionales que nunca aparecen en su sistema de monitoreo. Pruebe la resolución en varios lugares geográficos. Valide que los cambios realmente surtan efecto. Si es un servicio global, dé por sentado que la estructura global de DNS es irregular.

‍

Haga que el DNS forme parte de su modelo de seguridad

Incluya escenarios de ataques de DNS en sus ejercicios de mesa. Asigne la propiedad del DNS con claridad: no debería ser una idea de último momento compartida por tres equipos. Si tienes un SOC, asegúrate de que las anomalías del DNS aparezcan en sus paneles.

‍

Cerrar la brecha sin dar nombres

Existe un mercado creciente de servicios de DNS especializados diseñados para organizaciones que entienden que la disponibilidad y la integridad no son opcionales. No solo alojan tu archivo de zona. Ofrecen una infraestructura distribuida a nivel mundial, un DNSSEC integrado, una protección contra DDoS integrada en la capa de resolución y, lo que es más importante, una visibilidad profunda de lo que sucede con sus registros. Le alertan sobre patrones extraños antes de que se conviertan en interrupciones.

Si tu configuración de DNS actual parece una casilla de verificación en la interfaz de usuario de un registrador, vale la pena preguntarte si es suficiente para la escala y la importancia de los servicios que estás ejecutando. No es necesario nombrar a los proveedores para saber la diferencia entre el DNS estándar y la resiliencia gestionada.

‍

Pensamiento final

El DNS es fundamental, pero debido a que pasa a un segundo plano, a menudo es lo último en lo que la gente piensa. Y cuando sale mal, es lo primero en lo que desearían haber pensado.

No se trata de sembrar miedo. Se trata de reconocer que, a medida que nuestros sistemas se vuelven más distribuidos, se basan en API y dependen de terceros, la simple búsqueda de DNS sigue siendo el primer apretón de manos en casi todas las transacciones. Trátelo como a un ciudadano de primera clase. Redundancia integrada. Exija visibilidad. Inclúyala en su modelo de amenazas.

Porque este es el punto clave: si su firewall falla, lo sabrá en segundos. Si te secuestran el DNS, es posible que no lo sepas hasta que tus usuarios te lo digan o hasta que tu marca aparezca en una lista de «quiénes han sido hackeados esta semana». ¿Cuál te mantiene despierto por la noche?