Los servidores DNS son clave en el funcionamiento de internet, las puertas que nos ayudan a localizar la web que queremos visitar de entre los millones de direcciones que hay en la red. Sin embargo, un fallo en estas plataformas puede desembocar en el caos como ocurrió el mes pasado al caerse los servicios de importantes webs en España y el extranjero por un error en uno de los proveedores a nivel mundial.

Esta vez, Google y Amazon han podido corregir la brecha de seguridad en sus servidores antes de que las consecuencias fueran realmente graves. Ambas empresas, que ofrecen servicios DNS a empresas y gobiernos, han corregido el fallo a tiempo gracias a dos investigadores de seguridad.

Shir Tamari y Ami Luttwak, de la empresa Wiz, han explicado en una conferencia de Red Hat cómo descubrieron esta vulnerabilidad en los servidores DNS de Amazon Web Services y Google Cloud Platform, y la cantidad de información confidencial que podía haber quedado expuesta ante grupos de ciberdelincuentes y espionaje.

¿Cómo funcionan los DNS?

Cada página web cuenta con una dirección IP (Protocolo de Internet) como una matrícula única formada por una serie de cuatro o seis números separados por puntos. Los usuarios buscan la página por su nombre público, más fácil de recordar, por ejemplo elespañol.com. Es el servidor DNS es que se encarga de traducir esta dirección en el código IP para que el navegador pueda abrir la web correctamente y no se pierda en la inmensidad de la red.

DNS Omicrono Omicrono

Crear un servidor de dominio o DNS no es muy complicado, pero muchas empresas prefieren contratar a un proveedor como Google Cloud Platform o Amazon Web Services. Ellos se encargan del mantenimiento y revisan la seguridad del sistema, liberando a las compañías de estas tareas. 

De esta forma, cuando un empleado desea visitar alguna página web debe conectarse a una aplicación de intranet para que su ordenador consulte al servidor DNS de la otra compañía la dirección IP a la que pretenden entrar. El proceso es sencillo y rápido, pero implica un intercambio de información confidencial que puede ser muy jugosa para los piratas informáticos como demuestra este caso. 

Una mina de oro

Los investigadores de Wiz han explicado a Recorded Future que gracias a esa vulnerabilidad encontrada, pudieron acceder a la red interna de los servidores. Si bien no consiguieron rastrear el tráfico de las empresas en directo, sí fueron capaces de crear mapas con las compañías que utilizan esos servidores y recopilar datos internos de cada una.

direccion-ip

En su investigación recopilaron información de 15.000 organizaciones, entre ellas 130 agencias gubernamentales y algunas empresas de Fortune 500. Los datos revelados iban desde direcciones IP internas, hasta nombres de empleados. Para Tamari y Luttwak toda esta cantidad de datos es "una mina de oro para inteligencia".

Con ellos se pueden determinar la estructura interna de cualquier empresa y diseñar ataques informáticos muy precisos. Pero no solo se beneficiarán los grupos de hackers, también los equipos de espionaje conseguirían saber qué empresas están haciendo negocios con países enemigos. El equipo de Wiz llegó a detectar compañías que infringían de esta manera las regulaciones de la OFAC (Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos).

El fallo se ha corregido

Alertados por los investigadores, tanto Amazon como Google han lanzado actualizaciones para parchear la brecha de seguridad. Google ha asegurado a Recorded Future que "no han visto ninguna evidencia de abuso malicioso en su plataforma". Por su parte, Amazon no ha respondido a esta cuestión.

No son los únicos proveedores que podrían estar afectados. Desde Wiz aseguran que una docena de compañías con este mismo servicio podría ser vulnerable a la misma brecha de seguridad. El problema sería de gran envergadura, según explican en Wiz, al tener su origen en una opción predeterminada de los servidores de Microsoft Windows que permiten que el tráfico DNS salga de la red local y llegue a Internet. 

Si las compañías desactivan esa función en las actualizaciones dinámicas de DNS como sugieren Microsoft estas vulnerabilidades serían más difíciles de aprovechar por terceras organizaciones y piratas informáticos.

También te puede interesar...

Noticias relacionadas