6 claves para configurar tu dominio y mejorar su seguridad

0


En esta guía vamos a repasar conceptos teóricos que nos permitan configurar un dominio de la forma correcta, para así obtener la máxima seguridad.

Introducción

configura tu dominio para obtener la máxima seguridadTodos sabemos que los hackers y cibercriminales atacan páginas web directamente y con múltiples recursos. Además con mucha frecuencia y, últimamente, a estos se han unido aquellos llamados “hacktivistas” que atacan páginas con motivaciones políticas. Estos últimos han introducido otra vía de entrada, la del “domain hijacking” o secuestro de credenciales de dominio. 

Los ataques contra cuentas de registro de nombres de dominio, unido al secuestro de registros DNS (domain name system) son muy perjudiciales y peligrosos para las empresas porque el resultado es que sus visitantes son redireccionados a otra web, haciendo imposible que efectúen su navegación deseada y afectando a la imagen de marca y confianza por parte del internauta. Además de ser peligroso cara al exterior, también puede dañar la infraestructura de la empresa, pues son un valioso y útil activo. Estos ataques han crecido exponencialmente porque los ciberdelincuentes han descubierto que muchos registradores y registros de dominio son objetivos relativamente fáciles.

Este peligro ha ido traduciendose poco a poco en realidad, como ha confirmado recientemente la ICANN, Internet Corporation for Names and Numbers y ha afectado tanto a pequeños comercios como a grandes corporaciones. Esto hace vital e inexcusable tomar las debidas precauciones para mejorar la seguridad de todos los activos relacionados con nombres de dominio.

En esta guía vamos a explicar en detalle en qué consisten los ataques, como se producen, que daño causan y comentaremos las estrategias a implementar para securizar nuestra infraestructura de dominio.

Aclarando conceptos sobre dominios

En el mundo digital, nuestros clientes y colaboradores emplean nuestra web como portal de interacción con nosotros. Por tanto, nuestros nombres de dominio son activos de alto valor, tan importantes como cualquier otra pieza física o de software de la empresa. ¿Por qué no están estos importantes activos mejor protegidos de los hackers por parte de los registros de dominio y los registradores? ¿Por qué muchas organizaciones se preocupan exclusivamente del coste de comprar un dominio y no de la necesidad de protegerlo?

Estas dos entidades que manejan el mundo de los dominios, registros y registradores, difieren principalmente en quién es su cliente. Un registro provee servicios directos a registradores y consiste sobre todo en una base de datos que contiene información DNS (nombre de dominio, nombre de servidores y direcciones IP) junto con el nombre del registrador que registró el nombre y datos básicos de intercambio. Un registrador provee servicio directo a los registrantes en nombre de dominio. Los registradores procesan los registros de nombre de dominio para usuarios de internet y envían la información necesaria sobre DNS al registro para introducir estos datos en la base de datos central.

La base de datos de los registradores contiene información de clientes junto con la información DNS contenida en la base de datos del registro.

Cuando los hackers o scammers consiguen acceso para actualizar nombres de servidores, o incluso transferir dominios, puede resultar en la pérdida o interrupción de presencia en Internet, pérdida de comunicaciones (email, voIP, streaming o aplicaciones) y en ocasiones pasan a afectar de forma reputacional o financiera según afirma la SSAC en un completo informe.

Habiendo aprendido en el pasado que muchos registros y registradores son vulnerables (por no configurar bien el sistema de dominio) a técnicas de ingeniería social, junto con inyecciones vía SQL, los hackers/hacktivistas están enfocándose de forma creciente en la industria del dominio. Este año hemos conocido más de 20 casos de brechas en registros DNS.

Los riesgos a los que nos enfrentamos

Los métodos que los hackers o scammers emplean para lanzar ataques sobre sistemas de nombre de dominio (DNS) varían, pero las consecuencias son siempre las que hemos comentado anteriormente.

Brechas en registradores

Los registradores deben mejorar la seguridad en su configuración y mantenimiento en portales y entornos back-end.

1) En 2011, un registrador europeo fué atacado por ciberdelincuentes que usaban una técnica relativamente sencilla (inyección SQL) que les permitió modificar los ajustes de nombre de servidor en varios dominios.

2) En otro caso, un ataque sobre un registrador conllevó que ciertos dominios fuesen secuestrados por hacktivistas y los sitios eran redireccionados.

3) Modificando los nombres de servidor de los dominios de sus víctimas, los hackers eran capaces de redirigir a sus visitantes a otros sitios web que promovían ciertos mensajes políticos.

Los registradores deberían estar siempre preparados y escaneando en busca de intrusiones. Mientras el hecho de que un sitio “esté caído” es malo, puede ser peor que este quede secuestrado o presente información inadecuada a alterada, algo que puede sepultar la confianza del cliente en nuestra marca.

El escenario puede tornarse peor, si un dominio vulnerado es usado en un ataque “man in the middle“, en el que los hackers redireccionan a un sitio web malicioso para capturar nombres de usuario, contraseñas, etc mientras nos llevan de nuevo a la página solicitada, dejando a las víctimas ignorantes de lo que ha ocurrido.

Phishing y otros ataques de ingeniería social

Más allá de la securización del sistema, los registradores deben evaluar las flaquezas de sus enlaces humanos. Algunos han sido vulnerados con simples trucos de ingeniería social, como que un hacker busque un registrador mediante un site, llame al soporte técnico del registrador, afirme ser un nuevo contacto técnico y pregunte las contraseñas para poder “proseguir con su trabajo”. En muchos casos un hacker obtiene todo lo que necesita, un mero nombre de usuario y contraseña, para tomar el control de toda la infraestructura de dominio. Los administradores de dominio  también pueden ser víctimas de phishing.

Recientemente, un partner de ventas de un registrador fué engañado para proporcionar credenciales de entra a ciertas cuentas de partner. La información concedida por el partner, en respuesta a dicho ataque de phishing dirigido, permitió a los hackers la oportunidad de actualizar los registros Whois y nombre de servidor en una importante web y dejándola fuera de combate durante varis horas, impidiendo además su comunicación por email.

Secuestro de nombres de dominio

En un tipo de ataque más dirigido, un scammer podría crear una solicitud de email fraudulenta para conseguir la transferencia de un nombre de dominio sobre el que no tiene derechos. Esa transferencia puede ser denegada, pero normalmente este procedimiento precisa de una intervención consciente de un humano. En los sistemas automatizados de algunos registradores de dominios enfocados en cliente final, dichas solicitudes pueden “colarse”, dejando al poseedor legal del dominio ante la perspectiva de que su dominio, no solo está apuntando a una página maliciosa, sino que además ya no es de su propiedad. En un ejemplo del pasado año, un sitio web de anotaciones y favoritos perdió el control de su dominio, el cual fué transferido desde su cuenta a una cuenta de registrador diferente. Como resultado del ataque, 5 millones de clientes no pudieron acceder al sitio web durante 50 horas.

Recopilación de credenciales por medio de malware

Otro tipo de ataque implica el despliegue dirigido de malware, como los conocidos keyloggers. En este tipo de escenario,los administradores de dominio son engañados para que clickeen sobre un enlace web, o abran un adjunto en un email. Estos keyloggers rastrean los datos de login (sesión) y contraseñas de portales de administración de nombres de dominio corporativos. Con estas credenciales, los scammers pueden desbloquear y secuestrar dominios, actualizar nombres de servidores e incluso cambiar valores DNS -cualquiera de ellos podría resultar en un tiempo de inactividad o la proliferación de malware adicional.

A tener en cuenta para proteger nuestro dominio

Cada empresa necesita contar con una estrategia para securizar su cartera de dominios. Hay demasiado en riesgo -continuidad de negocio principalmente- que descansa sobre sitios web y urls. Mientras el objetivo es resistir a los ataques además de contener el daño, debe haber un solvente grupo de partners y procedimientos definidos para mitigar el daño rápidamente.

Uno de los problemas más acuciantes cuando nos enfrentamos a un ataque sobre DNS es el tiempo. Por ejemplo, desde que un problema es descubierto hasta que es solucionado, puede conllevar un intervalo de entre 20 minutos hasta 72 horas para que todos los servidores en el sistema DNS sean re-actualizados con la información válida. Dicha situación puede ser catastrófica para un negocio si sucede con uno de sus dominios principales. 

Teniendo en cuenta esta importancia, es esencial que seleccionemos un registrador con experiencia y que aplique protocolos de seguridad fiables en campo, incluyendo un portal securizado. De esta forma minimizaremos el porcentaje de ataques que conseguirán tener éxito y, de producirse, estaremos en una mejor situación para responder a la amenaza.

Pasos para mitigar los riesgos

Evita riesgos innecesarios, configura tu dominio sin descuidar ningún detalleConsolida tu cartera de dominios

Conoce aquellos dominios que posees y asegúrate de que posees una visión global y centralizada de todos los nombres de dominio sobre todas las direcciones y localizaciones. Mantener cuidadosos registros y un seguimiento de nuestra cartera de dominios significa tener media batalla ganada. Conviene tener un acuerdo de colaboración con un registrador especializado en empresas (exclusivamente) que se comprometa a ofrecer gTLDs (Generic Top Level Domain name) y ccTLDs (Country Code Top Level Domain) Este tipo de dominios no son administrados por países, sino por organismos independientes y su funcionamiento es más fiable.

Asegúrate de que tu registrador es seguro

Conviene estar pendientes de si nuestro registrador emplea un portal “securizado” -que realiza constantes comprobaciones de seguridad y vulnerabilidades de código de la misma forma en que un equipo de seguridad web lo hace con el sitio web-. El registrador debe poseer un registro y ser capaz de sobreponerse a los nuevos exploits, investigando y entendiendo las nuevas amenazas. Además, el registrador debe ser capaz de demostrar la fortaleza de su seguridad interna y buenas prácticas.

Establece tus nombres de dominio como “Bloqueados”

En respuesta a la amenaza del secuestro de nombre de dominio, debemos tener la certeza de que nuestros dominios están bloqueados, para que no puedan ser transferidos. Todos los dominios deberían ser creados, configurados y, por último, bloqueados.

Implementa el “Bloqueo de Registrador”

También hay un mecanismo elevado de bloqueo, algunas veces conocido como “bloqueo de registrador” o “superlock“, que congela todas las configuraciones de dominio hasta que el registrador desbloquea estas al término de un protocolo de seguridad establecido previamente entre ambas partes. las compañías controlan el nivel de complejidad asociado a este proceso y los dominios se dejan disponibles solo tras haberse completado con éxito el mismo. Este nivel de seguridad extra debería ser aplicado a aquellos dominios críticos como sitios web que efectúen transacciones, sistemas de email, intranets o sitios web que soportan aplicaciones importantes.

Exige el “Bloqueo del registro”

El bloqueo genérico de dominio aún podría ser vulnerado por un atacante que actualice nombres de servidor y redireccione a los clientes hacia webs ilegítimas sin transferir el control desde un registrador a otro. Para combatir esto, otro paso posible es el de bloquear el registro o “premium locking”, que deja el dominio incapaz de sufrir actualizaciones. Este método de bloqueo es actualmente aplicable a los .com, .net y algunos registros ccTLD.

Trabaja con un registrador securizado

Un registrador protegido estará familiarizado con todos los potenciales ataques descritos anteriormente, incluyendo ténicas de ingeniería social, y será capaz de protegerse contra ellos. Probablemente encontraréis este nivel de sofisticación si trabajáis con un registrador que trata únicamente con clientes corporativos. Dichos proveedores poseen, además, sus propios sistemas de seguridad especializados para prevenir, detectar y responder a ataques contra dominios, entre ellos:

1) Verificando cuentas de acceso a portal mediante autenticación en dos pasos.

2) Restringiendo el acceso a un portal mediante dirección IP.

3) Enviando notificaciones cuando se produzcan cambios de nombre.

4) Evitando emails automatizados como forma principal de comunicación.

5) Manteniendo logs o registros de actividad para conocer las actualizaciones de nombres de dominio.

6) Manteniendo un sistema fuerte de mantenimiento de contraseñas, que obligue a modificar las mismas periódicamente.

7) Ofreciendo múltiples niveles de acceso.

Asegúrate de que tu registrador posee sólidas relaciones en la industria

Conviene asegurarse de que nuestro proveedor está bien establecido y posee experiencia. Esto debería funcionar también como parte de un ecosistema, con relaciones fuertes con otros registradores, proveedores de servicio fiables, organizaciones de seguridad, proveedores de navegador, desarrolladores de softwaere a la altura y grupos de investigadores capaces. Debemos buscar un candidato que aúne experiencia en seguridad y mantenimiento de dominios.

Monitoriza dominios críticos

Los dominios vitales para el desarrollo de nuestra actividad deben ser monitorizados continuamente en busca de actualizaciones no autorizadas de sus DNS, cambios en contenido web y DNS cache poisoning (envenenamiento de caché DNS) Aunque hemos descrito métodos fiables para bloquear dominios .com y .net en el registro, otros dominios pueden estar en riesgo. El monitoreo continuo de los sitios clave es recomendable, para así enfrentarse a los problemas con rapidez.

Esperamos que estos consejos os hayan parecido útiles. Esta guía de seguridad os vendrá bien si no queréis que vuestra empresa pase a engrosar la lista de empresas que han caído, víctimas del temido secuestro de dominio.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR