DNS - cuando la guía telefónica de internet se rompe

El DNS (Domain Name System) es el sistema que convierte nombres de dominio como "example.com" en direcciones IP. Cada vez que introduces una URL en el navegador, se realiza una consulta DNS en segundo plano. Si esta conversión falla, no podrás acceder a ningún sitio web a menos que conozcas directamente la dirección IP.

El DNS se compara a menudo con la "guía telefónica" de internet, pero esta guía es sorprendentemente frágil. Debilidades de diseño, errores humanos, ataques deliberados - las causas de fallos del DNS son diversas, y su impacto se propaga por todo internet.

Incidentes reales donde el DNS falló

Ataque DDoS a Dyn (octubre de 2016)

El 21 de octubre de 2016, el proveedor de DNS Dyn sufrió un ataque DDoS masivo, dejando inaccesibles durante varias horas a cientos de servicios importantes como Twitter, Netflix, GitHub, Spotify y Reddit.

El ataque utilizó la botnet Mirai - cientos de miles de dispositivos IoT infectados con malware (cámaras web, routers, DVR) enviaron simultáneamente cantidades masivas de consultas a los servidores DNS de Dyn. Se estima que el tráfico de ataque alcanzó un máximo de 1,2 Tbps.

Este incidente reveló que muchos servicios importantes dependían de un único proveedor de DNS. Si solo existe una "guía telefónica", en el momento en que esa única copia queda inutilizable, todo se detiene.

Fuga BGP de Cloudflare (2020)

En julio de 2020, la ruta hacia el servicio DNS de Cloudflare (1.1.1.1) fue anunciada erróneamente debido a un error de configuración BGP de un ISP, provocando que usuarios de todo el mundo no pudieran alcanzar el DNS de Cloudflare. Aunque el DNS en sí funcionaba correctamente, si el "camino" hacia el servidor DNS se rompe, el resultado es el mismo.

Corrupción del archivo de zona .com (2021)

En abril de 2021, se produjo un problema temporal en el archivo de zona .com gestionado por Verisign, causando fallos en la resolución de nombres de algunos dominios .com. Siendo .com el dominio de nivel superior más utilizado del mundo, un fallo en su sistema de gestión tiene un impacto de gran alcance.

Vulnerabilidades estructurales del DNS

1. Comunicación en texto plano sin cifrar

Las consultas DNS tradicionales se envían sin cifrar por el puerto UDP 53. Los ISP, los operadores de puntos de acceso Wi-Fi y los espías en la red pueden interceptar fácilmente a qué dominios intentas acceder. DNS over HTTPS (DoH) y DNS over TLS (DoT) resuelven este problema, pero su adopción aún está en progreso.

2. Envenenamiento de caché DNS

Es un ataque en el que el atacante inyecta respuestas falsas en la caché de un resolver DNS, redirigiendo a los usuarios a sitios falsos. La vulnerabilidad descubierta por Dan Kaminsky en 2008 explotaba una debilidad fundamental en el diseño del DNS, siendo un problema grave que afectaba a todo internet. DNSSEC (DNS Security Extensions) es la contramedida para este problema, pero su tasa de adopción sigue siendo baja.

3. Concentración de puntos únicos de fallo

Los servidores raíz del DNS son operados por 13 operadores, pero en realidad, mediante la tecnología Anycast, cientos de instancias están distribuidas por todo el mundo. Sin embargo, persiste el riesgo de que los fallos se concentren en los servidores autoritativos de un TLD (dominio de nivel superior) específico o en un proveedor de DNS particular.

Tecnologías que protegen el DNS

  • DNSSEC: añade firmas digitales a las respuestas DNS para detectar alteraciones. Sin embargo, no cifra las consultas
  • DNS over HTTPS (DoH): cifra las consultas DNS mediante HTTPS, previniendo tanto la interceptación como la alteración
  • DNS over TLS (DoT): cifra las consultas DNS mediante TLS. Tiene el mismo propósito que DoH, pero utiliza un puerto dedicado (853)
  • Redundancia: utilizar múltiples proveedores de DNS para que, si uno falla, la resolución de nombres pueda continuar con los demás

Verifica tu configuración DNS

Comprueba tu información de conexión en IP Check-san y realiza una prueba de fuga DNS para verificar a qué servidor se envían tus consultas DNS. Si estás usando el DNS predeterminado de tu ISP, vale la pena considerar cambiar a un DNS público:

  • Cloudflare (1.1.1.1): enfocado en la privacidad. Elimina los registros de consultas en 24 horas
  • Google (8.8.8.8): rápido y fiable. Sin embargo, los datos de consulta se envían a Google
  • Quad9 (9.9.9.9): incluye función de bloqueo de dominios de malware

Resumen

El DNS es una de las infraestructuras más fundamentales de internet y, al mismo tiempo, uno de sus eslabones más frágiles. La comunicación en texto plano sin cifrar, la vulnerabilidad al envenenamiento de caché, la dependencia de un único proveedor - estos problemas se están mejorando gradualmente con la adopción de DoH/DoT, la implementación de DNSSEC y la redundancia de proveedores DNS.

Términos del glosario relacionados

DNS El sistema de infraestructura de internet que convierte nombres de dominio en direcciones IP. Dirección IP La dirección numérica del servidor que el DNS devuelve como resultado de la conversión. Fuga DNS Fenómeno en el que las consultas DNS viajan fuera del túnel cifrado al usar una VPN. HTTPS El protocolo de comunicación cifrada que sirve de base para DNS over HTTPS (DoH). BGP El protocolo que controla las rutas hacia los servidores DNS. Los fallos de BGP afectan la accesibilidad del DNS.