MITIC alerta sobre los ataques más comunes a dispositivos de red domésticos
- Los ataques más comunes como el DNS Hijacking o infecciones con malware como por ejemplo VPNFilter ponen en riesgo las redes domésticas, y la seguridad de los sistemas conectados a las mismas.
- De acuerdo a las instrucciones, podrás comprobar si tu equipo es uno de ellos además de recomendaciones para protegerlo.
El Ministerio de Tecnologías de la Información y la Comunicación (MITIC) informó acerca de la variedad de ciberataques que afectan a millones de dispositivos de red a nivel mundial. En su artículo hace referencia a los ataques más comunes como el DNS Hijacking o infecciones con malware como por ejemplo VPNFilter que ponen en riesgo las redes domésticas, y la seguridad de los sistemas conectados a las mismas. Según informa el medio digital Hoy.com.py.
¿Qué significa DNS Hijacking?
DNS (Domain Name System) o Sistema de nombres de Dominio, el DNS es una tecnología que resuelve nombres de dominio (por ejemplo: http://www.ejemplo.es) en direcciones numéricas (direcciones IP: 93.184.216.34) que los equipos puedan comprender.
DNS Hijacking o secuestro de DNS es un ataque que tiene como objetivo alterar los servidores DNS para que las consultas de resolución de nombres se resuelvan incorrectamente y redirijan a las víctimas a sitios maliciosos.
Con esto los delincuentes podrían lograr obtener información confidencial como usuarios y contraseñas, tarjetas de crédito, entre otros datos confidenciales.
Técnicas más utilizadas por los ciberdelicuentes
DNS Hijack Local: el ciberdelincuente compromete la computadora de la víctima y modifica la configuración local del DNS.Router DNS Hijack: el ciberdelincuente toma control del router de la víctima (ya sea por una vulnerabilidad en el router o una mala configuración) y modifica la configuración DNS. Esto afecta a todos los usuarios conectados a la red.
Ataque MITM (Hombre en el medio) DNS: el ciberdelincuente logra interceptar la comunicación entre el usuario y el servidor DNS alterando la respuesta de este último para redirigir a la víctima a un sitio malicioso.
¿Cómo saber si estoy siendo víctima de un DNS Hijack?
Como el ataque se basa en alterar los servidores DNS para redirigir las consultas a un servidor malicioso, se recomienda visualizar qué servidores DNS resuelven las consultas. Una forma de hacer esto es revisando la configuración de red local del equipo, como se indica en el siguiente párrafo. Sin embargo, esto solo servirá para identificar posibles casos de un Hijack Local y en la mayoría de los casos no se podrá identificar realmente cual es el servidor DNS público.
En Windows esto se podría realizar con el comando ipconfig /all.
Asimismo, aclaran la diferencia entre sufijo DNS y servidor DNS, este último se encarga de recibir la consulta del dominio y devolver la IP, en cambio un sufijo DNS es utilizado únicamente en redes locales cuando se realiza una consulta por un nombre de equipo sin especificar un dominio.
Por ejemplo, en este caso si se quiere consultar la IP del equipo “test1” sin aclarar algún dominio y con sufijo DNS “ejemplo.net”, el dispositivo automáticamente entenderá que se está buscando la IP de “test1.ejemplo.net”.
Además existen sitios de verificación de DNS similares a los que se utilizan para conocer la IP pública. Los mismos permiten conocer si los servidores DNS utilizados son de confianza.
Algunos de los sitios más populares son: DNS Leak Test y What’s My DNS Server.
VPNFilter
Afecta a una gran variedad de modelos de routers sin importar el fabricante y la principal diferencia con otras amenazas es que, en algunos casos no se puede eliminar con el reinicio del dispositivo, haciéndolo especialmente peligroso. En el siguiente enlace, se pueden visualizar los modelos de routers vulnerables a ataques VPNFilter.
Recomendaciones
Para casos de DNS Hijacking: verificar que el servidor DNS utilizado para las consultas es de confianza, esto se puede realizar desde páginas como What’s My DNS Server o DNS Leak Test.
Para casos de VPNFilter: verificar si el router que utilizo es vulnerable a VPNFilter en el siguiente enlace.
En caso de sospechar que el router se encuentre infectado con VPNFilter o algún otro malware, se recomienda: restablecer el router a los valores predeterminados de fábrica. Antes de volver a conectarlo a internet, deshabilitar la administración remota, en caso de no utilizarlo.
Instalar la última versión del firmware del router afectado, desde el sitio web oficial.