En este artículo, analizaremos la seguridad de DNS(nueva ventana), qué significa para sus empresas y cómo el uso de Proton VPN proporciona a su negocio la seguridad de DNS(nueva ventana) que necesita.

El Sistema de Nombres de Dominio (DNS) traduce los nombres de dominio fáciles de usar para los humanos a direcciones IP(nueva ventana) numéricas que las computadoras usan para identificar sitios web y otros recursos de internet. Por lo tanto, juega un papel vital en la forma en que todos usamos internet, incluso para el trabajo.

Desafortunadamente, el DNS se inventó en 1983, mucho antes de que se considerara la necesidad de seguridad en línea. De forma predeterminada, las solicitudes de DNS se envían en texto plano para que cualquiera las vea, y son fácilmente secuestradas para redirigir a dominios maliciosos. Esta situación es lo suficientemente peligrosa para los usuarios de internet individuales, pero es potencialmente catastrófica en un contexto empresarial.

¿Qué es DNS?

Las computadoras identifican cada dispositivo que se conecta directamente a internet con una dirección IP numérica única. El sistema IPv4 más antiguo utiliza direcciones de ocho dígitos (como 185.159.159.140), pero se están agotando, por lo que el estándar IPv6 más nuevo utiliza un sistema hexadecimal (que contiene tanto dígitos como letras) que puede tener hasta 45 caracteres de longitud (como 2001:db8::8a2e:370:7334).

Esto es excelente para las computadoras, pero no para los humanos, que son mucho mejores para recordar direcciones basadas en letras (nombres de dominio) que tienen sentido para nosotros (como protonvpn.com). El DNS permite a los humanos ingresar nombres de dominio que entendemos y los asigna a direcciones numéricas que las computadoras entienden. En esencia, se comporta como una guía telefónica que cruza nombres de dominio y direcciones IP.

Cuando ingresa un nombre de dominio (por ejemplo, en la barra de búsqueda de un navegador), se envía una consulta DNS a un servidor DNS que resuelve la consulta. Es decir, traduce el nombre de dominio a su dirección IP correspondiente.

Más información sobre cómo funciona el DNS (nueva ventana)

DNS y privacidad para empresas

El DNS es útil pero crea un gran problema de seguridad: cualquiera con acceso a las consultas DNS de su empresa conoce efectivamente todo su historial de navegación, incluido el de todos los miembros del personal que usan una red de oficina para conectarse a internet.

DNS y el PSI de su empresa

Por defecto, las consultas DNS son resueltas por su proveedor de servicio de internet(nueva ventana) (PSI). Desafortunadamente, los PSI no se dedican a proteger la privacidad de individuos o empresas. La mayoría de los programas de espionaje masivo gubernamental dependen de exigir a los PSI que guarden registros de los historiales de navegación de sus clientes. Y, debido a que es fácil y barato, la mayoría de los PSI cumplen estas obligaciones legales guardando solo registros de DNS.

En algunos países (como Estados Unidos), a los PSI incluso se les permite usar o vender los registros DNS de los clientes(nueva ventana) con fines publicitarios y analíticos.

DNS y vigilancia corporativa

La mayoría de las consultas DNS se envían al servidor DNS en texto plano, lo que significa que cualquier entidad que pueda interceptarlas conocerá todo el historial de navegación de su empresa. Esto incluye los contactos de su empresa, socios comerciales, proveedores, clientes, gobierno, organismos de regulación de salud y seguridad con los que interactúa, y mucho más.

Todos estos datos son información potencialmente muy valiosa para los competidores.

DNS y seguridad para empresas

Además de espiar pasivamente el historial de navegación de su empresa, los hackers pueden explotar el DNS para realizar una variedad de ataques activos. Muchos de estos apuntan al propio servidor DNS (típicamente varias formas de ataque de denegación de servicio(nueva ventana) destinados a sobrecargar el servidor), pero a menos que su empresa ejecute sus propios servidores DNS (y algunas lo hacen), es poco probable que tales ataques sean una amenaza para su negocio.

Los ataques basados en DNS que pueden ser una amenaza para la mayoría de las empresas incluyen:

Suplantación de identidad de DNS

Para acelerar el proceso de búsqueda y reducir la carga en los servidores DNS, las consultas frecuentes a menudo se almacenan (en caché) localmente en el servidor DNS. Para realizar un ataque de suplantación de identidad de DNS (también conocido como envenenamiento de DNS), un atacante inserta registros DNS falsos en la caché de los servidores DNS.

Esto se puede hacer utilizando un ataque de hombre en el medio(nueva ventana) (interceptando la consulta entre el dispositivo del usuario y el servidor DNS) o a través de envenenamiento de caché(nueva ventana) (explotando vulnerabilidades en el software del servidor DNS para inyectar entradas maliciosas en su caché).

Una vez que la caché DNS está envenenada, cuando un usuario intenta visitar un sitio web legítimo, el registro DNS corrupto lo redirige a una dirección IP diferente controlada por el atacante. Al igual que con los ataques de suplantación, esto generalmente resulta en el robo de contraseñas e información de tarjetas de crédito y/o la carga de malware en las computadoras de su empresa.

Tunelización DNS

A menudo utilizada como una herramienta de vigilancia corporativa para eludir cortafuegos y otras medidas de seguridad destinadas a prevenir la exfiltración (robo) de datos sensibles, la tunelización DNS codifica los datos para que puedan transmitirse dentro de las consultas y respuestas DNS, utilizando efectivamente la infraestructura DNS como un canal de comunicación encubierto.

También puede ser utilizado por atacantes para mantener la comunicación con sistemas comprometidos, enviando comandos y recibiendo resultados sin ser detectados. La tunelización DNS explota el hecho de que el tráfico DNS a menudo es menos escrutado por los dispositivos de seguridad en comparación con otros tipos de tráfico, lo que lo convierte en un método efectivo para eludir cortafuegos y filtros.

Soluciones de seguridad DNS

La mayoría de los PSI no implementan ninguna medida de seguridad DNS en absoluto (y generalmente no tienen interés en proteger la privacidad de su empresa). Sin embargo, los proveedores de DNS de terceros como Cloudflare 1.1.1.1, Quad9 y OpenNIC tienen un enfoque de privacidad y seguridad mucho más fuerte. Esto incluye el uso de tecnologías que hacen que el DNS sea mucho más seguro.

DNS privado

El DNS privado (también conocido como DNS cifrado) utiliza los protocolos de seguridad DNS sobre TLS (DoT), DNS sobre HTTPS (DoH) o DNSCrypt para cifrar las consultas DNS entre el dispositivo que realiza la consulta y el servidor DNS.

Esto asegura que su PSI (o cualquier otra persona que monitoree la conexión a internet de su empresa) no pueda ver sus consultas DNS.

Más información sobre DNS privado(nueva ventana)

El DNS privado es claramente una gran mejora respecto al envío de consultas DNS en texto plano, aunque no es tan privado como usar un servicio VPN, que cifra no solo sus solicitudes DNS, sino todos los datos sensibles de su empresa, evitando así por completo que su PSI vea lo que su negocio hace en línea. También oculta su dirección IP real de los sitios web que visitan los miembros de su personal.

DNSSEC

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) son un conjunto de especificaciones diseñadas para agregar una capa extra de seguridad al DNS.

DNSSEC:

  • Asegura que las respuestas a las consultas DNS sean auténticas. Hace esto utilizando firmas digitales para firmar datos DNS, que luego son validados por el cliente. Esto ayuda a verificar que los datos no han sido manipulados y que, de hecho, provienen de la fuente legítima.
  • Garantiza que los datos no han sido alterados en tránsito. Hace esto firmando digitalmente los datos DNS, lo que protege contra ataques de hombre en el medio y evita que cualquiera modifique los datos. 

Cómo Proton VPN puede proteger el DNS de su empresa

Además de proporcionar direcciones IP de puerta de enlace para asegurar los recursos de su empresa, Proton VPN for Business proporciona una seguridad DNS robusta:

  • Todas las solicitudes DNS se envían a través del túnel VPN cifrado para ser resueltas por nuestros propios servidores DNS seguros (por lo que no hay necesidad de soluciones de DNS privado)
  • Nunca guardamos registros de sus consultas DNS (ni de ninguna otra cosa, de hecho)   
  • Nuestra función NetShield Ad-blocker es un filtro DNS que bloquea consultas DNS a dominios maliciosos conocidos por anuncios, rastreadores y (opcionalmente, para mayor control) malware 
  • Sus servidores DNS utilizan DNSSEC para autenticar datos DNS (excepto para dominios bloqueados por NetShield, que no resolvemos de todos modos)
Obtener Proton VPN for Business

Reflexiones finales: La importancia de la protección DNS para las empresas

La seguridad DNS a menudo se pasa por alto, pero debería ser una consideración importante para cualquier empresa que evalúe su postura de seguridad. De hecho, los ataques como la tunelización DNS existen precisamente porque a menudo no se tiene suficiente cuidado para asegurar las consultas DNS de las empresas.

Con Proton VPN for Business, puede estar seguro de que todas las consultas DNS están cifradas, no se guardan registros de DNS y las resoluciones DNS se autentican utilizando DNSSEC.