«Los piratas informáticos no quieren destruir la red. Quieren que siga funcionando para poder seguir ganando dinero con él.» – Vinton Cerf
Introducción
En un mundo interconectado y atravesado por nuevos desafíos como el de la interacción cotidiana con la IA Generativa, donde nuestras vidas están significativamente formadas y en interacción constante por herramientas y estímulos digitales, es crucial comprender las diversas amenazas que acechan en el ciberespacio.
Internet está cambiando constantemente, impulsada por las demandas en evolución de un mundo conectado, y transformando la forma en que nos comunicamos, realizamos negocios e interactuamos en línea.
La capacidad de ubicar y acceder rápidamente a contenido web de manera confiable es muy importante para garantizar la confianza en el ecosistema de Internet.
Esto involucra tres puntos focales que hay que tener en cuenta a la hora de hablar de confianza, estabilidad y seguridad en Internet. Los registradores de dominios, los proveedores de servicios de alojamiento web en sus diferentes opciones, ambos juegan roles esenciales en el funcionamiento de Internet, pero no son lo mismo. El otro punto focal es el Estado.
Intentaremos explorar las implicancias cruciales de estos actores, sus diferencias y sus limitaciones para abordar el contenido web abusivo o dañino.
Acerca del DNS Abuse y su implicancia en prácticas abusivas y fraudulentas
Es necesario abordar desde una perspectiva técnica a qué llamamos DNS Abuse.
ICANN (Internet Corporation for Names and Numbers - https://www.icann.org/) la define como cualquier actividad maliciosa destinada a interrumpir la infraestructura DNS o hacer que el DNS (Sistema de Nombres de Dominio) opere de manera no deseada.
Esto difiere de las malas prácticas. Las actividades abusivas incluyen la corrupción de los datos de la zona DNS, obtener el control administrativo de un servidor de nombres e inundar el DNS con miles de mensajes para degradar los servicios de resolución de nombres.
Si debiéramos explicarlo de forma coloquial, pediría que Imaginemos que Internet es como una ciudad gigante, y los sitios web son como comercios o edificios en esa ciudad. El Sistema de Nombres de Dominio (DNS) es como la guía telefónica, que nos indica cómo llegar a cada uno de esos lugares, es decir, nos señala qué dirección buscar para encontrar un sitio web específico.
Ahora bien, el DNS Abuse (abuso del DNS) se da cuando alguien intenta engañar a ese sistema de direcciones (guía telefónica) para dirigirnos a un lugar falso o peligroso. Es como si alguien cambiara la dirección en el mapa de la ciudad para que nos dirigiéramos a un comercio falso peligroso, en lugar del negocio que realmente querías encontrar.
Algunos ejemplos de DNS Abuse incluyen:
Phishing: Es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar.
Malware: Como describe el sitio web McAfee: "Término que abarca cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable. Los delincuentes cibernéticos generalmente lo usan para extraer datos que pueden utilizar como chantaje hacia las víctimas para obtener ganancias financieras. Dichos datos pueden variar desde datos financieros, hasta registros de atención médica, correos electrónicos personales y contraseñas. La variedad de información que puede verse comprometida se ha vuelto ilimitada".
Secuestro de DNS4: Imagina que alguien toma el control de las direcciones de las tiendas en la ciudad y te hace llegar a direcciones equivocadas sin que lo sepas. Así, tus visitas a sitios web legítimos son redirigidas a lugares falsos.
En resumen, el DNS Abuse es la acción que determina que el sistema de direcciones de Internet es manipulado para introducir a una persona en espacios digitales falsos o peligrosos, lo que puede ocasionar problemas como el robo de información o la instalación de malware en las computadoras. Es una forma de engaño en donde manipulan las direcciones únicas de Internet para que no se llegue al lugar correcto.
Repasando, el abuso del DNS se refiere a actividades maliciosas que afectan la integridad y seguridad del Sistema de Nombres de Dominio. Según la Corporación para la Asignación de Nombres y Números en Internet (ICANN), las principales categorías de abuso del DNS incluyen:
Malware: Software malicioso instalado sin el consentimiento del usuario, que interfiere con el funcionamiento del dispositivo, recopila información sensible o accede a sistemas privados.
Botnets: Redes de computadoras infectadas que pueden ser controladas remotamente para realizar actividades bajo las órdenes de un atacante.
Phishing: Técnicas que engañan a las víctimas para que revelen información sensible, como credenciales o datos financieros, a través de correos electrónicos fraudulentos o sitios web falsos.
Pharming: Redirección de usuarios a sitios fraudulentos mediante la manipulación del DNS, ya sea a través de secuestro o envenenamiento de la caché del DNS.
Spam: Correos electrónicos no solicitados enviados en masa, que en este contexto se consideran abuso del DNS cuando se utilizan como medio para distribuir malware, phishing u otras formas de abuso.
Estas definiciones están detalladas en el "Advisory: Compliance With DNS Abuse Obligations in the Registrar Accreditation Agreement and the Registry Agreement"5 de ICANN.
Iniciativas para Mitigar el Abuso del DNS
ICANN ha implementado un Programa de Mitigación del Abuso del DNS que se centra en:
Aplicación de Obligaciones Contractuales: ICANN supervisa y asegura que los operadores de registros y registradores cumplan con las obligaciones contractuales relacionadas con la mitigación del abuso del DNS. Esto incluye la Sección 3.18 del Acuerdo de Acreditación de Registradores (RAA) y la Sección 4.2 de la Especificación 6 del Acuerdo Base de Registros6.
Contribución de Datos y Experiencia: A través del Sistema de Reporte de Actividad de Abuso de Dominios (DAAR), ICANN recopila y analiza datos sobre registros de dominios y amenazas de seguridad para identificar y reportar actividades maliciosas como phishing, distribución de malware y actividad de botnets.
Provisión de Herramientas a la Comunidad: ICANN financia proyectos como el Análisis Inferencial de Dominios Registrados Maliciosamente (INFERMAL)7, que busca comprender las preferencias de los atacantes al registrar dominios maliciosos y estudiar medidas para mitigar el abuso del DNS.
Además, en 2019, un grupo de registros y registradores de nombres de dominio desarrolló el "Framework to Address Abuse"8, un documento que establece principios y compromisos para abordar el abuso del DNS. Desde su lanzamiento, ha sido adoptado por múltiples entidades en la industria.
Es fundamental que todas las partes involucradas en el ecosistema del DNS colaboren para identificar, reportar y mitigar el abuso, garantizando así un entorno en línea más seguro y confiable para todos los usuarios.
¿Cuándo nace el problema del Abuso del DNS?
Si bien algunos autores y organismos manifiestan que el abuso del Sistema de Nombres de Dominio (DNS) no se debe a un fallo específico en el sistema, sino que es consecuencia de la explotación de vulnerabilidades inherentes al diseño y funcionamiento del DNS por parte de actores malintencionados, hay que reconocer que el diseño original no contemplaba las amenazas actuales.
El DNS fue concebido para facilitar la traducción de nombres de dominio en direcciones IP, pero no se diseñó originalmente con robustas medidas de seguridad, lo que lo hace susceptible a diversas formas de abuso.
Principales Factores que Contribuyen al Abuso del DNS:
Falta de Autenticación y Validación: El DNS tradicional no incorpora mecanismos sólidos para autenticar la fuente de la información, lo que permite a los atacantes introducir datos falsificados en la caché de los servidores DNS, una técnica conocida como envenenamiento de caché9.
Uso de Servidores DNS Abiertos: La existencia de servidores DNS configurados para responder a cualquier consulta, conocidos como "resolutores abiertos", puede ser aprovechada para ataques de amplificación, donde pequeñas consultas resultan en respuestas masivas que sobrecargan los sistemas de la víctima10.
Configuraciones Inseguras: La implementación incorrecta o la falta de actualización de las configuraciones de DNS puede dejar a los sistemas vulnerables a ataques. Por ejemplo, la ausencia de medidas de seguridad como DNSSEC (Extensiones de Seguridad del DNS)11 facilita la manipulación de las respuestas DNS.
Registro Malicioso de Dominios: Los atacantes a menudo registran dominios con la intención de utilizarlos para actividades maliciosas, como phishing o distribución de malware. Estos dominios pueden parecer legítimos, engañando a los usuarios y sistemas de seguridad12.
Compromiso de Dominios Legítimos: Además de registrar nuevos dominios, los atacantes pueden comprometer dominios existentes que carecen de medidas de seguridad adecuadas, utilizándolos para sus fines maliciosos sin el conocimiento del propietario original.
Es importante destacar que, aunque el DNS es fundamental para el funcionamiento de Internet, como dijimos anteriormente, su diseño original no contemplaba las amenazas actuales. Por ello, es esencial implementar medidas de seguridad adicionales, como DNSSEC, configuraciones seguras y prácticas de monitoreo continuo, para mitigar los riesgos asociados al abuso del DNS.
Esta ausencia de mecanismos sólidos de autenticación y validación en protocolos como el DNS se debe a cómo se concibió originalmente Internet. Durante las primeras décadas (década de 1980 y principios de 1990), el entorno en el que se diseñaron estos protocolos era muy diferente: la red era pequeña, y se asumía un grado elevado de confianza entre los usuarios y los equipos conectados. La prioridad era la funcionalidad y la escalabilidad, más que la seguridad, ya que las amenazas cibernéticas eran mínimas o prácticamente inexistentes en ese momento.
Por ejemplo, el sistema DNS fue creado para traducir nombres de dominio a direcciones IP de forma sencilla y rápida, sin que en su diseño se contemplaran mecanismos robustos de autenticación. Esto se explica en parte en la documentación de DNSSEC de ICANN, que señala que el DNS se diseñó en una época en la que la seguridad no era una consideración primordial.
Con el crecimiento exponencial de Internet y el incremento de actores maliciosos, estas limitaciones se han vuelto evidentes, lo que ha llevado al desarrollo de extensiones como DNSSEC para introducir medidas criptográficas que permitan validar la integridad y autenticidad de la información.
En los últimos tiempos, la seguridad se ha vuelto un tema de creciente relevancia en el ámbito de Internet.
En relación con el Sistema de Nombres de Dominio (DNS), se han desarrollado y propuesto diversos protocolos de seguridad a lo largo de los años, destacándose las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) como uno de los más significativos. Las DNSSEC contribuyen a asegurar las respuestas del DNS mediante la autenticación del origen de los datos y la protección de su integridad.
En pocas palabras, DNSSEC ayuda a garantizar que los usuarios se dirijan al sitio web real que están buscando y no a uno falso. Si bien no mantiene la privacidad de las búsquedas (la seguridad de la capa de transporte, o TLS, es un protocolo de seguridad diseñado para garantizar la privacidad en Internet), sí ayuda a evitar que entidades malintencionadas inserten respuestas de DNS manipuladas en las solicitudes de DNS.
La zona raíz del DNS, gestionada por la ICANN, fue firmada por primera vez con las DNSSEC en julio de 2010. Todos los dominios genéricos de alto nivel (gTLD) están firmados con las DNSSEC, en parte debido a las obligaciones contractuales con la ICANN. Sin embargo, solo alrededor del 60 % de los dominios de alto nivel de código de país (ccTLD) han sido firmados.
Es importante antes de seguir indicar qué significa el acrónimo ccTLD.
Un ccTLD (del inglés country code top-level domain) es un tipo de dominio de nivel superior en Internet que está asociado a un país o territorio específico. Estos dominios se identifican por un código de dos letras que generalmente corresponde al estándar ISO 3166-1 alpha-214. Por ejemplo, “.ar” es el ccTLD para Argentina, “.es” para España y “.fr” para Francia.
Los ccTLDs ayudan a identificar y localizar sitios web según su origen geográfico, lo que puede ser útil para empresas y organizaciones que desean dirigirse a audiencias específicas en determinados países. Además, algunos ccTLDs han sido utilizados creativamente para formar palabras o abreviaturas, como “.tv” para contenido relacionado con televisión o “.me” para sitios personales.
Es importante destacar que cada ccTLD es administrado por una entidad designada en su país correspondiente, la cual establece las políticas y regulaciones para el registro de dominios bajo ese ccTLD. Algunos países imponen restricciones y sólo permiten registros a residentes o entidades locales, mientras que otros tienen políticas más abiertas y permiten registros a nivel global.
Una posible explicación para esta tendencia en los ccTLD es la falta de visibilidad de los administradores de ccTLD en el proceso de asegurar sus zonas con las DNSSEC.
Por lo tanto, la Oficina del Director de Tecnologías de la ICANN (OCTO - https://www.icann.org/octo) ha publicado una guía15 para asistir a los operadores de registros de ccTLD en el proceso de firmar sus zonas con las DNSSEC. Esta guía no aborda el segundo aspecto de las DNSSEC, que es la validación que ocurre principalmente en los resolutores recursivos del DNS, generalmente ubicados en proveedores de servicios de Internet (ISP), grandes operadores de nubes públicas o redes corporativas.
Un resolutor recursivo del DNS es como un “buscador” de direcciones en Internet. Imaginemos que queremos visitar un sitio web, pero en lugar de saber la dirección exacta (como 192.168.0.1), sólo sabemos su nombre, como "www.ejemplo.com.ar". El resolutor recursivo es el encargado de buscar esa dirección para nosotros
Funciona de la siguiente manera:
Se le pide la dirección: Cuando se escribe una URL en el navegador, el resolutor recursivo se encarga de preguntar a otros servidores DNS para encontrar la dirección correcta.
Hace todas las consultas necesarias: Si no sabe la respuesta directamente, pregunta a otros servidores que tienen más información, hasta llegar al servidor que sí tiene la dirección exacta.
Nos devuelve la respuesta: Una vez que el resolutor recursivo obtiene la información, nos la pasa a nosotros, para que podamos acceder al sitio web.
En síntesis, actúa como un intermediario que realiza la "búsqueda" de la dirección para que nos podamos conectar al sitio web.
El DNS y su interacción con IA en el marco del ecosistema de Internet
La integración de la Inteligencia Artificial con el Sistema de Nombres de Dominio (DNS) está revolucionando la ciberseguridad y la gestión de redes. Esta convergencia proporciona soluciones autónomas, análisis predictivos y defensas proactivas, iniciando una nueva era en la protección y optimización de infraestructuras digitales. Además, permite enfrentar desafíos y transformar las estrategias tradicionales en un entorno cada vez más complejo.
La Inteligencia Artificial se distingue por su capacidad para procesar grandes volúmenes de datos e identificar patrones que pueden pasar desapercibidos para los seres humanos. Al integrarla en la infraestructura del Sistema de Nombres de Dominio (DNS), las empresas registradoras pueden detectar automáticamente anomalías en las consultas que podrían indicar actividades maliciosas. Mediante algoritmos de aprendizaje automático, es posible identificar dominios de phishing, túneles DNS y algoritmos de generación de dominios (DGA)16 utilizados por malware.
Además, la IA monitorea el tráfico DNS en tiempo real, detectando dominios sospechosos o recién registrados que podrían ser utilizados para ataques. Ante la detección de una anomalía, la IA puede bloquear dominios maliciosos o aislar dispositivos comprometidos de manera inmediata.
Predicción proactiva de amenazas
La IA supera la seguridad reactiva al prever posibles riesgos futuros mediante el análisis de datos históricos y modelos predictivos. Al anticipar patrones de ataque, las organizaciones pueden adelantarse a los cibercriminales. Por ejemplo, la Inteligencia Artificial puede identificar señales tempranas de un ataque DDoS17 al detectar picos anormales en las consultas DNS, permitiendo a los administradores tomar medidas preventivas antes de que el ataque se materialice. El continuo desarrollo de la IA refuerza su potencial para predecir y mitigar amenazas, consolidando el DNS como una pieza clave en la seguridad de Internet.
Optimización del rendimiento de la red
La IA no sólo protege, sino que también mejora la eficiencia del DNS. Analizando patrones de tráfico, optimiza la caché y el balanceo de carga, reduciendo la latencia y garantizando una mejor experiencia para el usuario. Por ejemplo, la IA redirige las consultas hacia los servidores más rápidos, evitando congestiones durante los picos de tráfico.
Reducción de falsos positivos
Con algoritmos avanzados, la IA reduce las interrupciones innecesarias al diferenciar con precisión entre actividades legítimas y sospechosas. Esto se logra mediante análisis contextuales que consideran el comportamiento del usuario, el momento y los datos históricos, disminuyendo los falsos positivos en la detección de amenazas.
Desafíos y perspectivas
Aunque esta tecnología es prometedora, enfrenta retos como el riesgo de entradas adversariales18 que engañen los modelos de Inteligencia Artificial o la necesidad de transparencia en la toma de decisiones, especialmente en ciberseguridad.
La integración de la IA con el DNS marca un antes y un después en la ciberseguridad y gestión de redes. Al automatizar, predecir y optimizar, estas soluciones inteligentes no sólo enfrentan las amenazas actuales, sino que preparan el camino hacia un entorno digital más seguro y eficiente.
DNSSEC en Argentina
Implementación de la firma de DNSSEC en todas las zonas de segundo nivel
Desde junio del 2015 el estado nacional a partir de “Nic.ar”, implementó la firma de DNSSEC, las Extensiones de Seguridad para el DNS, para el ‘.ar’, llamada “Red Anycast”19. Con esto se proporcionó un nivel de seguridad adicional para el dominio de nivel superior, controlando que la información provista por el DNS proviniera del origen correcto sin ser modificada. Para validar la autenticidad de las respuestas DNS, se utilizan firmas digitales y claves criptográficas, un procedimiento que, hasta la actualidad, en el caso de NIC Argentina, se realizaba de manera manual.
Este proyecto busca implementar la firma en todas las zonas de segundo nivel y permitir la delegación a usuarios finales para aumentar el nivel de seguridad garantizando que la información provista por el DNS provenga del origen correcto.
Para llevarlo a cabo se está trabajando en conjunto con el sector privado a través de la Cámara Argentina de Internet (CABASE) y con el sector educativo representado por la Asociación de Redes de Interconexión Universitaria (ARIU)20 que, además, es responsable de la zona “.edu.ar”.
El objetivo central es extender la firma de DNSSEC a todas las zonas bajo el “.ar”, tales como “.com.ar”, “.tur.ar” y “.org.ar”, permitir la delegación de firma a dominios dentro de las zonas firmadas, incentivar a los Proveedores de Servicios de Internet (ISPs) para que implementen resolvers con validación de DNSSEC y a los hostings para que implementen la firma de DNSSEC para las zonas de sus clientes.
