Redireccionamientos DNS definidos y demostrados con ejemplos

Un redireccionamiento DNS es una técnica en la que un computador cliente es dirigido a contactar con un servidor diferente al que solicitó inicialmente. El resultado es que el cliente puede terminar en un dominio diferente al que originalmente pretendía.

Hay varios escenarios comunes en los que puedes utilizar el redireccionamiento DNS para hacer el bien:

• Proteger tu sitio web y a los usuarios de actividades maliciosas
• Dirigir a los usuarios a un sitio web diferente del que pretendían visitar con fines de marketing o prueba
• Dirigir el tráfico de un nombre de dominio a otro si el dominio original cambia de propietario
• Dirigir el tráfico de un sitio web antiguo a uno nuevo si la organización decide trasladarlo todo

Como ingeniero del sitio, es muy importante tener conocimiento profundo de los redireccionamientos DNS. Este post responde a la pregunta "¿qué son los redireccionamientos DNS?" y luego repasa algunos de los tipos de redireccionamiento más comunes.

Los redireccionamientos DNS se pueden utilizar tanto con fines beneficiosos como perjudiciales. No obstante, los atacantes suelen aprovecharse de los redireccionamientos DNS. Por ejemplo, un hacker podría apuntar maliciosamente a un equipo infectado para descargar malware o engañar a un usuario para revelar información sensible. Entender cómo funciona el DNS puede ayudar a proteger tu equipo y tus datos contra los estafadores y hackers.

¿Qué son los redireccionamientos DNS?

El redireccionamiento DNS es una función que ofrecen muchas empresas de alojamiento y registradores de nombres de dominio. Puedes utilizar varios métodos para realizar redireccionamientos, pero el redireccionamiento DNS es el más sencillo. Este te permite apuntar un nombre de dominio a otro, consiguiendo el mismo resultado que si hubieras cambiado los servidores de nombres de tu dominio original.

El redireccionamiento DNS también se conoce como secuestro de nombres de dominio. Como su nombre indica, los hackers pueden utilizarlo con fines maliciosos como el phishing o para apuntar a un equipo infectado y descargar malware. Por ejemplo, un atacante puede redirigir el tráfico fuera de su destino previsto y hacia un servidor que aloje malware u otro contenido dañino. El atacante lo ejecutaría interceptando el tráfico de Internet, enviando respuestas falsas a las solicitudes DNS y —en ocasiones— tomando el control de la red de la víctima.

¿Cómo funciona el redireccionamiento DNS?

Un redireccionamiento DNS es similar a buscar un libro en el catálogo de una biblioteca. Encuentras la sección correcta, vas allí y luego buscas el número correspondiente a la ubicación del libro deseado en uno de los estantes. El bibliotecario te lleva a la estantería correcta y encuentra tu libro. Es parecido a lo que ocurre cuando buscas un sitio web en Internet.

Cuando escribes www.google.com en tu navegador, es porque crees que podría encontrar a Google en esa dirección. Sin embargo, el nombre de dominio no es información suficiente para averiguar dónde se encuentra realmente Google. Por suerte, el navegador contacta a un servidor DNS y le pregunta dónde se encuentra Google en la Web como si se buscara un libro en el catálogo de la biblioteca. El servidor DNS conoce la dirección exacta, por lo que hace que el navegador envíe solicitudes a esa ubicación.

Tipos de redireccionamientos DNS

Ahora que ya sabes qué es el redireccionamiento DNS y cómo funciona, conozcamos los distintos tipos de redireccionamiento DNS.

Redireccionamientos CNAME

El redireccionamiento CNAME es un tipo de redireccionamiento DNS en el que un nombre de dominio se asigna a otro. Pongamos un ejemplo. Si deseas asociar el nombre de dominio www.ejemplo.com a www.otrodominio.com, crearías un registro CNAME con el nombre "www" y el valor "otrodominio.com".

Redireccionamientos URL

Puedes utilizar el redireccionamiento URL o reenvío de URL para enviar tráfico web a una URL diferente de la solicitada inicialmente. Para configurar el redireccionamiento URL, puedes modificar el registro DNS de un nombre de dominio para que apunte a una dirección web diferente. Cuando los usuarios visitan la URL original, el redireccionamiento DNS redirige a la nueva URL. Existen dos tipos de redireccionamiento URL: permanente y temporal.

Redireccionamiento permanente (o redireccionamiento 301)

Si trasladaras permanentemente una dirección web o el tráfico de una URL a otra dirección, configurarías una redirección permanente. También llamado redireccionamiento 301, es el tipo más común de redireccionamiento URL. He aquí un ejemplo. Cuando un usuario escribe gmail.com en su navegador y es redirigido a mail.google.com, se trata de un redireccionamiento HTTP 301. En este caso, el servidor web envía un mensaje al navegador para informarle que la página se ha trasladado permanentemente a una nueva ubicación. Entonces, el navegador actualiza su caché con la información más reciente y sigue utilizando el nuevo sitio en el futuro.

Redireccionamiento temporal (o redireccionamiento 302)

Utilizarías el redireccionamiento temporal (o 302) cuando has movido la página original de forma temporal, pero planeas restaurar la ubicación original en algún momento en el futuro. El redireccionamiento 302 dirige el tráfico desde la dirección web original a una nueva, pero sólo momentáneamente. Los usuarios podrían volver más tarde y el redireccionamiento habrá desaparecido. Básicamente, esto permitiría a los usuarios volver a acceder al sitio original. El redireccionamiento temporal tiene un impacto negativo en la optimización para motores de búsqueda (SEO), ya que los motores de búsqueda podrían tratar el contenido de estas páginas web como duplicados.

Trama URL

Los hackers utilizan la técnica de trama URL para inyectar código malicioso en un sitio web. Insertan el código en la URL del sitio web. Cuando la víctima visita el sitio, el código se ejecuta. Los hackers pueden utilizar esta técnica para robar información o instalar malware en el equipo de la víctima.

Redireccionamiento de direcciones IP

Comúnmente, un redireccionamiento de direcciones IP enmascara la dirección IP de un servidor o dispositivo. El redireccionamiento permite que existan muchos dominios en una dirección IP. Esto hace que sea más difícil para los hackers saber dónde están todos tus sitios web en Internet. A menudo, los propietarios de sitios web utilizan el redireccionamiento de direcciones IP para poder utilizar una dirección IP para varios nombres de dominio. Los administradores de sitios web aprecian estas redirecciones porque les ahorran dinero y quitan presión a sus servidores.

Meta refresh

Finalmente, el último tipo de redireccionamiento DNS es el redireccionamiento meta refresh. Este envía tráfico de una dirección a otra utilizando una etiqueta HTML. Un desarrollador inserta el código meta refresh en la cabecera HTML del sitio web. El código indica al navegador que actualice la página una vez transcurra un tiempo determinado. El redireccionamiento meta refresh envía a los usuarios a una nueva página sin tener que escribir la nueva URL en su navegador web. Puede ser útil si cambias el diseño o la maquetación de tu sitio web y deseas que tus usuarios vean los últimos cambios lo antes posible.

A continuación se muestra un ejemplo del fragmento de código HTML que se utilizaría para lograr un redireccionamiento meta refresh:

<meta http-equiv="refresh" content="5;" url="https://www.anotherdomain.com">

Aquí, el navegador será redireccionado a https://www.anotherdomain.com después de cinco segundos. Es útil para ciertos tipos de menús de navegación y otras tareas sensibles al tiempo.

Problemas de seguridad relacionados con el redireccionamiento DNS

A continuación encontrarás algunas amenazas de seguridad relacionadas con el redireccionamiento DNS que debes conocer.

Secuestro de DNS

El registro de nombres de dominio puede ser fácil de obtener. Los hackers pueden utilizar scripts automatizados para buscar dominios no registrados que puedan ser similares a sitios conocidos. Una vez que encuentran un dominio no registrado con un error tipográfico común, pueden comprarlo y configurar su sitio con fines de phishing. He aquí un ejemplo. Si escribieras "fakebook" en lugar de "facebook" en la barra de direcciones de tu navegador web, terminarías en un sitio web comprometido que se parece al sitio web real y te pide que introduzcas tus credenciales de inicio de sesión.

Envenenamiento de la caché de DNS

En el envenenamiento de la caché de DNS, un atacante inyecta datos ilegítimos en la caché de DNS. Esto hace que el servidor devuelva información errónea para un nombre de dominio específico. Los hackers pueden utilizarlo para redirigir a los usuarios a un sitio web malicioso o robar datos.

Explotación de las vulnerabilidades de los routers

Un atacante puede cambiar la configuración del cliente para que apunte a un servidor de nombres o dirección IP alternativos. Por ejemplo, los routers tienen un servidor de nombres integrado que los clientes consultan antes de ir a los servidores de nombres de su ISP predeterminado. Al explotar una vulnerabilidad en un router, los atacantes pueden cambiar la configuración que el cliente consulta primero.

Suplantación de DNS

En la suplantación de DNS, un atacante envía una respuesta DNS falsa al equipo de la víctima. Esto hace que el equipo de la víctima crea que el sitio web malicioso es legítimo.

Ataque man-in-the-middle

Un ataque man-in-the-middle se produce cuando un atacante intercepta y manipula el tráfico entre el equipo de la víctima y el servidor DNS.

Eliminación de registros no válidos

Un atacante puede borrar registros DNS legítimos. Esto impide que un equipo reciba la dirección IP adecuada para un nombre de dominio específico.

Protección contra el secuestro de DNS

La mejor manera de protegerse contra el secuestro de DNS es utilizar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC). Esta suite proporciona autenticación para las respuestas DNS, lo que significa que la autenticidad de cada paquete de respuesta está firmada criptográficamente por la autoridad que lo envió. Las DNSSEC garantizan que los clientes reciban una respuesta correcta del dominio consultado y no una falsificada. Sin embargo, las DNSSEC existen desde 2008 y muchos ISP aún no las han implementado en sus servidores DNS a pesar de su disponibilidad.

Actualmente, los servidores DNS de los ISP no disponen de una función que avise a los usuarios cuando han sido redirigidos a una IP maliciosa. Para protegerte del secuestro de DNS, también es esencial comprobar la autenticidad de las respuestas de tu servidor DNS. La forma más sencilla es comparando lo que espera que sea un dominio con la respuesta DNS de tu ISP para ese mismo dominio. Si estos dos valores no coinciden, la respuesta del servidor DNS ha sido falsificada.

Por ejemplo, busca el dominio site24x7.com en el servidor DNS de tu ISP utilizando el comando:

$ dig site24x7.com

A continuación, busca site24x7.com en el servidor DNS de Google utilizando el comando:

$ dig site24x7.com @8.8.8.8

Los resultados de estos dos comandos deberían ser los mismos. Si no es así, el servidor DNS de tu proveedor de Internet ha sido suplantado.

Nota: aunque las DNSSEC son una medida de seguridad muy útil para proteger tu equipo frente a ataques, no es infalible. Todavía hay formas en las que un atacante podría redirigir tus consultas y hacerte creer que todo está bien. Por ejemplo, podría redirigir dominios no críticos como bing.com y luego hacer que sus servidores maliciosos respondan a solicitudes críticas como restablecimientocontraseña.microsoftonline.com.