Envenenamiento de DNS: ataque de phishing a banco en

Brasil
Breve Resumen (Redactado)

La fecha es del 21 de Julio del 2011, En un banco brasileño ocurrió un ataque de envenenamiento de
cache en el servidor DNS, el cual redirecciono a un sitio web malicioso, pero con las mismas
características del oficial lo que hacia indetectable o transparente al usuario que accedía en esos
momentos al sitio.

Los atacantes se beneficiaron de la memoria temporal del servidor DNS la cual almacena las resoluciones
del nombre de los sitios web para acelerar el proceso de consulta.

Logrando que usuarios del banco brasileño accedieran a su pagina web en la cual guardaban sus claves
y o credenciales, con el fin de usarlas en sus beneficios.

La mejor manera de evitar estos inconvenientes es verificar que el sitio web sea HTTPS el cual viaja con
cifrado dando seguridad, en lugar del HTTP el cual no tiene ninguna seguridad y es el utilizado para estos
tipos de delitos informáticos.

Nota: Refiriéndose al DNS spoofing, el cual es un método para alterar las direcciones que se encuentran
en el servidor y de esa forma direccionar a un sitio web malicioso y hacer que la potencial victima pida
recursos que estarán previamente infectados o ingrese datos confidenciales.

Noticia (Tal como esta publicada)

La filial brasileña de un reconocido banco fue víctima de un ingenioso ataque de phishing para Brasil
llevado a cabo durante los últimos días. Según Zscaler, un proveedor de seguridad en la nube que
detectó el ataque se trata de un ataque de envenenamiento a la caché DNS de determinados servidores
muy utilizados en Brasil, que podrían estar resolviendo la dirección del banco brasileño.

Una vez que el usuario ingresaba al sitio web, la víctima que proporcionaba sus credenciales estaba
realizando el acceso a otro sitio que, por supuesto, no era la página oficial del banco. Nótese que las
diferencias entre el sitio web original y el duplicado son casi indetectables, lo cual remarca la calidad del
ataque de phishing:
Sin embargo, no se trataba de un ataque de phishing convencional. Para llevar a cabo el robo de
información, los atacantes se aprovechaban de un mecanismo que resulta mucho más efectivo que los
métodos tradicionales, ya que, en los ataques por envenenamiento de caché, el delincuente no necesita
enviar correos electrónicos a posibles clientes del banco esperando que alguno de ellos decida seguir el
vínculo y caer en la estafa. En este caso, por lo contrario, solamente es necesario esperar que la posible
víctima ingrese a la página brasileña del banco Santander y esperar que el servidor DNS afectado
redireccione la víctima hacia el sitio infectado, sin que el usuario pueda percatarse al respecto.

¿Cómo funciona este ataque? Los servidores DNS poseen memorias temporales donde almacenan las
resoluciones de nombres que han ido obteniendo. Es decir, cuando un usuario hace una consulta a un
servidor DNS, este no posee necesariamente almacenada la resolución para dicho dominio, entonces
comienza a realizar las consultas a los servidores que correspondan (de mayor jerarquía) y, para no
volver a realizar la misma consulta en tiempos prudenciales, se almacena la resolución en la caché. De
esta forma, si otro usuario consulta el mismo dominio al servidor, este no volverá a hacer una consulta
externa, sino que usará la resolución de la memoria temporal (cuyos registros poseen un tiempo de vida,
conocido como TTL – Time to live). El ataque de DNS cache poisoning, consiste en aprovechar
vulnerabilidades en estos servidores, para enviarles información incorrecta sobre las direcciones IP de
determinados dominios. De esta forma, todos los usuarios que utilicen este servicio estarán visitando
páginas falsas, ya que la caché de estos ha sido manipulada por los atacantes.

Aunque para este caso el usuario podría advertirlo que el sitio era falso comprobando en la página web
la existencia de un protocolo de transferencia seguro HTTPS (dado que el sitio que montaron los
atacantes solo soportaba HTTP), el ataque posee las siguientes ventajas respecto a ataques de phishing
tradicional:

 El atacante no necesita contactar al usuario por correo u otro medio. Una vez realizado el ataque
al servidor DNS, todos los usuarios que lo utilicen serán potenciales víctimas si visitaran la página
web en cuestión.
 El dominio que observa el usuario en la dirección URL del navegador es el legítimo, ya que no se
enlaza al usuario a otra página web, sino directamente a otro servidor.
 El usuario no puede remediar el incidente, hasta que el servidor DNS no limpie su memoria
temporal y solucione la vulnerabilidad.

Este último punto es uno de los más importantes: no solo que es muy difícil para el usuario detectar el
ataque de phishing, sino que aún si notara el inconveniente, depende del proveedor del DNS para poder
seguir consultando las páginas web correctamente.

Desde ESET aprovechamos la oportunidad para recordar a los usuarios que en todos los sitios en los que
se maneje información sensible, como lo son las transacciones de home banking, la página web del
banco debe proveer una conexión segura entre el cliente y el servidor a través de un protocolo HTTPS.
Por lo tanto, al momento de ingresar a la cuenta bancaria, si en la barra de navegación solo aparece
HTTP; significa que su información estaría viajando por la red sin cifrar y podría ser fácilmente
interceptada. Este control, además, brinda una herramienta más, como en este caso, para comprobar la
autenticidad de un sitio web.