Presentamos ESET NetProtect: Combatiendo amenazas a nivel DNS

Rene Holt

Desde principios de la década de 1980, el Sistema de Nombres de Dominio (DNS) ha sido utilizado para buscar las direcciones de Protocolo de Internet (IP) de los nombres de dominio, ahora probablemente más conocidos al ser ingresados en las barras de direcciones del navegador, pero ampliamente consultados por las aplicaciones. Para la mayoría de los usuarios de Internet, el trabajo que realiza el DNS probablemente pase completamente desapercibido, sin embargo, casi todas nuestras actividades en Internet comienzan con una búsqueda de DNS. La supervisión de las búsquedas de DNS puede proporcionar una visión completa del tráfico que fluye a través de los dispositivos y es un punto crítico del control de seguridad

Poniendo a prueba los servicios de ESET Threat Intelligence para la protección DNS

Filtrar dominios maliciosos y sospechosos es una batalla constante para mantenerse protegido. Idealmente, los dominios maliciosos nunca deberían registrarse en primer lugar o, al menos, se detectarían y tratarían rápidamente eliminando, bloqueando el acceso o redirigiendo el tráfico lejos de ellos (también conocido como hundirlos). Sin embargo, registrar un nombre de dominio nuevo o reciclado bajo una identidad falsa es un proceso rápido, simple y barato que ha permitido que varias amenazas se amplíen rápidamente.

más información sobre los DNS:

Dominios maliciosos: una industria en crecimiento

Los peligros van mucho más allá de escribir mal los nombres de dominio y navegar accidentalmente a un sitio malicioso que hace “typosquatting” a nombre de dominio conocido. Los actores de amenazas pueden registrar nuevos dominios maliciosos en masa para campañas de phishing generalizadas, posiblemente utilizando homóglifos para engañar a todos, excepto a los más cautelosos. Los dispositivos comprometidos pueden comunicarse con los servidores de comando y control que supervisan sus botnets para el próximo comando malicioso. Los datos pueden ser robados por malware y enviados a un dominio malicioso.

Cuando los dominios legítimos se ven comprometidos y se ingresan en listas de bloqueo como maliciosos, surge un desafío particular. Los operadores de dichos dominios tienen la carga de erradicar la fuente del compromiso y solicitar la eliminación de cualquier lista de bloqueo. Este escenario a menudo surge cuando los proveedores de alojamiento que detectan actividad maliciosa suspenden automáticamente las cuentas de los clientes. Por otro lado, hay algunos proveedores de alojamiento “a prueba de balas” que públicamente se lavan las manos ante el posible uso malicioso o ilícito de sus servicios, brindando así un puerto seguro tanto para posibles delincuentes como para los que ya tienen carrera.  

Según Verisign, que gestiona la infraestructura de los dominios de nivel superior (TLD).com y .net, en el Q4 de 2021 se registraron 341.7 millones de nuevos nombres de dominio en todos los TLD, excluyendo a los TLD.tk (Tokelau), .cf (República Centroafricana), .ga (Gabón), .gq (Guinea Ecuatorial), y .ml (Malí) operados por Freenom debido a la falta de datos verificables. Considerando que, en promedio, cada día se registran más de 3,7 millones de nuevos nombres de dominio que deben analizarse en busca de comportamientos maliciosos, además de los dominios existentes que pueden verse comprometidos o solo mostrar su intención maliciosa más adelante, la necesidad de soluciones tecnológicas sólidas para manejar este vector de amenaza es primordial.

La economía de los nombres de dominio

De acuerdo a varios análisis realizados a lo largo de los años– [1], [2], y [3] – los cinco TLD administrados por Freenom generalmente se encuentran entre los principales TLD utilizados para phishing y malware porque no se cobra ninguna tarifa para registrar un nuevo dominio. Esto revela cuán favorable es la economía de los nombres de dominio para los actores maliciosos.

Los nombres de dominio pueden ser creados y desechados todos los días de a millones, porque hay poca o ninguna responsabilidad o costo para las personas que los registran. Cada registrador hace sus propias reglas y es fácil encontrar aquellas que no utilizan métodos estrictos para verificar las identidades y direcciones de los registrantes, y que cobran poco o nada por registrar nombres de dominio, a veces incluso poniendo a disposición una API para permitir el registro automatizado de nombres de dominio a escala.

A pesar de que el protocolo WHOIS fue desarrollado para permitir una fácil consulta de las bases de datos de registradores para las identidades y direcciones de los solicitantes de registro, existen varios obstáculos para identificar a los solicitantes de registro que son maliciosos. Algunos registradores ofrecen servicios de privacidad para ocultar la información del registrante y algunas leyes de privacidad locales incluso lo exigen. Peor aún, cuando se trata de dominios abiertamente maliciosos, cualquier información de identificación personal que pueda estar disponible a través de una consulta WHOIS es, probablemente, falsa. De hecho, incluso la tarjeta de crédito utilizada para pagar dichos registros de dominio probablemente sea robada. Ponerse en contacto con un registrador para eliminar un dominio malicioso puede llevar días, mientras que los delincuentes pueden continuar sus campañas maliciosas con nombres de dominio nuevos en minutos.

Filtrado del tráfico de red por seguridad

La respuesta de la industria de la seguridad al abuso del DNS ha sido construir sistemas automatizados que analicen continuamente los dominios en busca de comportamiento malicioso y crear listas de bloqueo de dominios. Estas listas se introducen en varios productos de seguridad y fuentes de datos de inteligencia de amenazas para informar mejor las decisiones de seguridad sobre permitir conexiones a dominios específicos. Por ejemplo, la base de datos antiphishing mantenida para los productos de seguridad de ESET se actualiza cada 20 minutos para que los clientes puedan recibir protección contra los últimos sitios web de phishing.

Filtrar el tráfico de red contra las listas de bloqueo no es ajeno entre las prácticas de seguridad de los proveedores de servicios de Internet (ISP) y los administradores de red. De hecho, esta es la misma tarea a la que se han puesto los firewalls desde mediados de los ’80: descapsular los paquetes que llegan al firewall, mirar las direcciones IP, los nombres de dominio, los protocolos y los números de puerto, y si algo está en una lista de bloqueo, parece sospechoso o es una comunicación prohibida por los administradores del firewall, bloquearlo o levantar una bandera de advertencia.

Con el fino ajuste adecuado, los firewalls de red y de punto final pueden ser efectivos, ya que funcionan en ambas direcciones, lo que impide que los actores externos e internos envíen paquetes dentro o fuera de las redes y dispositivos. Esto ayuda a limitar la propagación de paquetes maliciosos y la fuga de datos confidenciales sin importar la dirección o la fuente. Un firewall DNS funciona de manera un poco diferente, ya que permite búsquedas DNS y anula las respuestas identificadas como maliciosas o indeseables con mensajes como “no encontrado” o “acceso denegado”.

El filtrado de DNS requiere cooperación

En cierto sentido, el uso de firewalls y listas de bloqueo para denegar el acceso a dominios maliciosos puede crear una falsa sensación de seguridad. Con un esfuerzo persistente, casi siempre hay alguna laguna para eludir los filtros de firewall, generalmente a través de una Red Privada Virtual (VPN) o el navegador Tor.

Dado que un firewall DNS está vinculado a un servidor DNS, para omitir sus filtros es posible cambiar el servidor DNS que está utilizando. Si bien es posible ejecutar su propio servidor DNS y filtros en casa o localmente, es probable que muchos usuarios de Internet utilicen el servidor DNS predeterminado y los filtros proporcionados por su ISP. Una simple búsqueda de “servidores DNS públicos” en un motor de búsqueda revela una gran cantidad de alternativas populares gratuitas y pagas, algunas de las cuales ofrecen diferentes niveles de protección contra sitios de phishing y malware.

Esto significa que la aplicación exitosa de una solución de filtrado DNS depende críticamente de la voluntad de los usuarios de Internet de asociarse con su proveedor de DNS seleccionado y elegir no eludir la protección ofrecida.  

DNS protector con ESET NetProtect

La necesidad de mejorar la seguridad del DNS ha llevado, en algunos lugares, a exigir PDNS (DNS Protector), un acrónimo que se refiere al filtrado de DNS. Por ejemplo, desde 2020, los contratistas del Departamento de Defensa de los Estados Unidos (DoD) han estado obligados a obtener la Certificación de Modelo de Madurez de Ciberseguridad (CMMC), que, entre otros requisitos, estipula el filtrado de DNS para alcanzar el Nivel 3 de los cinco niveles existentes. Además, a finales de 2021, el DoD puso en marcha CMMC 2.0, con el reposicionamiento del filtrado de DNS aún por verse.

El mercado PDNS presenta muchos proveedores que ofrecen filtrado DNS con diferentes niveles de calidad de alimentación de dominio y servicios de seguridad que lo acompañan. ESET ofrece una contribución única, que proviene de datos de amenazas compartidos por millones de clientes en todo el mundo que utilizan los productos de seguridad de ESET. Con 35 años de brindar seguridad y desarrollar y ajustar finamente sistemas internos para aportar fuentes de dominio de alta calidad para el filtrado de DNS, ESET está posicionada para proporcionar una fuente distintiva de protección a los ISP y administradores domésticos. 

¿Quizás usted es un ISP que busca licitar para contratos gubernamentales, o para proporcionar una protección única para su propia red o como un servicio de seguridad a sus clientes? ¿O, tal vez, usted es un usuario doméstico que busca una mejor seguridad que la ofrecida por su ISP y que se pueda extender fácilmente a todos los usuarios e invitados de su red doméstica? Cualquiera sea su caso, preguntarse sobre el filtrado implementado para un servidor DNS y a qué entidad está confiando su seguridad DNS no es un paso pequeño para desviar la marea de dominios maliciosos que proliferan en Internet.

ESET NetProtect es la solución de filtrado de DNS disponible para usuarios domésticos en ISP que se han asociado con ESET. La solución es capaz de detectar y bloquear dominios que entregan malware, se utilizan para phishing, tienen una reputación sospechosa o sirven contenido potencialmente no deseado. ESET NetProtect también ofrece un filtro de contenido web configurable con 35 categorías que los clientes pueden seleccionar para bloquear el contenido por grupo de edad.

Para obtener más información sobre las asociaciones de ESET NetProtect e ISP, visite nuestra página de productos aquí.