En este artículo, analizaremos la seguridad DNS(ventana nueva), lo que significa para tus empresas y cómo el uso de Proton VPN proporciona a tu empresa la seguridad DNS(ventana nueva) que necesita.

El Sistema de Nombres de Dominio (DNS) traduce nombres de dominio amigables para los humanos a direcciones IP(ventana nueva) numéricas que los ordenadores usan para identificar sitios web y otros recursos de internet. Por lo tanto, juega un papel vital en cómo todos usamos internet, incluso para el trabajo.

Desafortunadamente, el DNS se inventó en 1983, mucho antes de que se considerara la necesidad de seguridad online. Por defecto, las solicitudes de DNS se envían en texto plano para que cualquiera las vea, y son fácilmente secuestradas para redirigir a dominios maliciosos. Esta situación es lo suficientemente peligrosa para los usuarios individuales de internet, pero es potencialmente catastrófica en un contexto empresarial.

¿Qué es el DNS?

Los ordenadores identifican cada dispositivo que se conecta directamente a internet con una dirección IP numérica única. El antiguo sistema IPv4 utiliza direcciones de ocho dígitos (como 185.159.159.140), pero estas se están agotando, por lo que el estándar IPv6 más nuevo utiliza un sistema hexadecimal (que contiene tanto dígitos como letras) que puede tener hasta 45 caracteres de longitud (como 2001:db8::8a2e:370:7334).

Esto es genial para los ordenadores, pero no para los humanos, que son mucho mejores recordando direcciones basadas en letras (nombres de dominio) que tengan sentido para nosotros (como protonvpn.com). El DNS permite a los humanos ingresar nombres de dominio que entendemos y los asigna a direcciones numéricas que los ordenadores entienden. En esencia, se comporta como una guía telefónica que cruza referencias de nombres de dominio y direcciones IP.

Cuando ingresas un nombre de dominio (por ejemplo, en la barra de búsqueda de un navegador), se envía una consulta DNS a un servidor DNS que resuelve la consulta. Es decir, traduce el nombre de dominio a su dirección IP correspondiente.

Más información sobre cómo funciona el DNS (ventana nueva)

DNS y privacidad para empresas

El DNS es útil pero crea un gran problema de seguridad: cualquiera con acceso a las consultas DNS de tu empresa conoce efectivamente todo su historial de navegación, incluido el de todos los miembros del personal que usan una red de oficina para conectarse a internet.

DNS y el ISP de tu empresa

Por defecto, las consultas DNS las resuelve tu proveedor de servicios de internet(ventana nueva) (ISP). Por desgracia, los proveedores de servicios de internet no se dedican a proteger la privacidad de particulares ni empresas. La mayoría de los programas de espionaje masivo gubernamentales dependen de que los ISP guarden registros del historial de navegación de sus clientes. Y, como es fácil y barato, la mayoría de los ISP cumplen con estas obligaciones legales guardando solo los registros DNS.

En algunos países (como Estados Unidos), a los ISP se les permite incluso usar o vender los registros DNS de los clientes(ventana nueva) con fines publicitarios y analíticos.

DNS y vigilancia corporativa

La mayoría de las consultas DNS se envían al servidor DNS en texto plano, lo que significa que cualquier entidad que pueda interceptarlas conocerá todo el historial de navegación de tu empresa. Esto incluye los contactos de tu empresa, socios comerciales, proveedores, clientes, organismos gubernamentales, de salud y seguridad con los que interactúa, y mucho más.

Todos estos datos son información potencialmente muy valiosa para los competidores.

DNS y seguridad para empresas

Además de espiar pasivamente el historial de navegación de tu empresa, los hackers pueden explotar el DNS para realizar diversos ataques activos. Muchos de ellos tienen como objetivo el propio servidor DNS (normalmente diversas formas de ataque de denegación de servicio(ventana nueva) destinados a sobrecargar el servidor), pero a menos que tu empresa gestione sus propios servidores DNS (y algunas lo hacen), es poco probable que tales ataques supongan una amenaza para tu negocio.

Entre los ataques basados en DNS que pueden suponer una amenaza para la mayoría de las empresas se incluyen:

Suplantación de DNS

Para acelerar el proceso de búsqueda y reducir la carga en los servidores DNS, las consultas frecuentes se suelen almacenar (en caché) localmente en el servidor DNS. Para realizar un ataque de suplantación de DNS (también conocido como envenenamiento de DNS), un atacante inserta registros DNS falsos en la caché de los servidores DNS.

Esto puede hacerse mediante un ataque de intermediario (man-in-the-middle)(ventana nueva) (interceptando la consulta entre el dispositivo del usuario y el servidor DNS) o mediante el envenenamiento de caché(ventana nueva) (explotando vulnerabilidades en el software del servidor DNS para inyectar entradas maliciosas en su caché).

Una vez envenenada la caché DNS, cuando un usuario intenta visitar un sitio web legítimo, el registro DNS corrupto lo redirige a una dirección IP diferente controlada por el atacante. Al igual que con los ataques de suplantación (phishing), esto suele resultar en el robo de contraseñas e información de tarjetas de crédito o débito y/o en la carga de malware en los ordenadores de tu empresa.

Túnel DNS (DNS tunneling)

A menudo utilizado como herramienta de vigilancia corporativa para eludir cortafuegos y otras medidas de seguridad destinadas a evitar la exfiltración (robo) de datos confidenciales, el túnel DNS codifica los datos para que puedan transmitirse dentro de las consultas y respuestas DNS, utilizando efectivamente la infraestructura DNS como un canal de comunicación encubierto.

También pueden utilizarlo los atacantes para mantener la comunicación con sistemas comprometidos, enviando comandos y recibiendo resultados sin ser detectados. El túnel DNS aprovecha el hecho de que el tráfico DNS suele ser menos examinado por los dispositivos de seguridad en comparación con otros tipos de tráfico, lo que lo convierte en un método eficaz para eludir cortafuegos y filtros.

Soluciones de seguridad DNS

La mayoría de los ISP no implementan ninguna medida de seguridad DNS (y generalmente no tienen interés en proteger la privacidad de tu negocio). Sin embargo, los proveedores de DNS de terceros, como Cloudflare 1.1.1.1, Quad9 y OpenNIC, tienen un enfoque mucho más fuerte en la privacidad y la seguridad. Esto incluye el uso de tecnologías que hacen que el DNS sea mucho más seguro.

DNS privado

El DNS privado (también conocido como DNS cifrado) utiliza los protocolos de seguridad DNS sobre TLS (DoT), DNS sobre HTTPS (DoH) o DNSCrypt para cifrar las consultas DNS entre el dispositivo que realiza la consulta y el servidor DNS.

Esto garantiza que tu ISP (o cualquier otra persona que monitorice la conexión a internet de tu empresa) no pueda ver tus consultas DNS.

Más información sobre el DNS privado(ventana nueva)

El DNS privado es claramente una gran mejora respecto al envío de consultas DNS en texto plano, aunque no es tan privado como el uso de un servicio VPN, que cifra no solo tus solicitudes DNS, sino todos los datos confidenciales de tu empresa, impidiendo así completamente que tu ISP vea lo que tu negocio hace online. También oculta tu dirección IP real a los sitios web que visitan los miembros de tu personal.

DNSSEC

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) son un conjunto de especificaciones diseñadas para añadir una capa adicional de seguridad al DNS.

DNSSEC:

  • Garantiza que las respuestas a las consultas DNS sean auténticas. Lo hace mediante el uso de firmas digitales para firmar los datos DNS, que luego son validados por el cliente. Esto ayuda a verificar que los datos no han sido manipulados y que realmente provienen de la fuente legítima.
  • Garantiza que los datos no han sido alterados en tránsito. Lo hace firmando digitalmente los datos DNS, lo que protege contra ataques de intermediario (man-in-the-middle) y evita que alguien modifique los datos. 

Cómo Proton VPN puede proteger el DNS de tu empresa

Además de proporcionar direcciones IP de puerta de enlace para asegurar los recursos de tu empresa, Proton VPN for Business proporciona una seguridad DNS robusta:

  • Todas las solicitudes DNS se envían a través del túnel VPN cifrado para ser resueltas por nuestros propios servidores DNS seguros (por lo que no hay necesidad de soluciones de DNS privado)
  • Nunca guardamos registros de tus consultas DNS (ni de nada más, en realidad)   
  • Nuestra función NetShield Ad-blocker es un filtro DNS que bloquea las consultas DNS a dominios maliciosos conocidos por anuncios, rastreadores y (opcionalmente, para mayor control) malware 
  • Tus servidores DNS utilizan DNSSEC para autenticar los datos DNS (excepto para dominios bloqueados por NetShield, que no resolvemos de todos modos)
Obtener Proton VPN for Business

Reflexiones finales: La importancia de la protección DNS para las empresas

La seguridad DNS a menudo se pasa por alto, pero debería ser una consideración importante para cualquier empresa que evalúe su postura de seguridad. De hecho, ataques como el túnel DNS existen precisamente porque a menudo no se tiene suficiente cuidado para asegurar las consultas DNS de las empresas.

Con Proton VPN for Business, puedes estar seguro de que todas las consultas DNS están cifradas, no se guardan registros DNS y las resoluciones DNS se autentican mediante DNSSEC.