Explicamos el ataque DNS que afectó a The New York Times, Twitter y otros

Explicamos el ataque DNS que afectó a The New York Times, Twitter y otros
3 comentarios Facebook Twitter Flipboard E-mail

Probablemente algunos de vosotros viérais anteayer que _algo raro_ estaba pasando en algunas páginas. The New York Times estuvo caído, y algunas imágenes de Twitter no cargaban. ¿La razón? Un ataque del Ejército Electrónico Sirio a MelbourneIT, uno de los registradores de dominio más usados entre grandes organizaciones de Internet.

Entrando en las cuentas de MelbourneIT, los atacantes lograron cambiar los registros DNS de varias webs, de tal forma que apuntasen a sus propios servidores. Así visto parece un poco complicado, así que vamos a explicarlo mejor.

Servidores DNS, traduciendo nombres a números

Si estáis más o menos familiarizados con la tecnología de Internet, sabréis que cada ordenador conectado a la red tiene una dirección IP, una serie de cuatro números (o, mejor dicho, un número de 32 bits). Gracias a esta dirección podemos dirigir los paquetes de datos al servidor de destino.

Los servidores DNS traducen un nombre de dominio a una dirección IP.

Sin embargo, cuando navegamos por Internet no andamos buscando las direcciones IP de los sitios web que visitamos. Lo que hacemos es poner un nombre, como _genbeta.com_, más fácil de recordar. Esto quiere decir que necesitamos a alguien que nos traduzca nombres a direcciones IP: estos son los servidores DNS (Domain Name Server).

Cuando en tu navegador escribes _genbeta.com_, el sistema operativo pregunta al servidor DNS que tengas configurado qué IP está asociada a ese nombre. Simplificando, ese servidor DNS preguntará a otro servidor DNS raíz, el que gestione los dominios _.com_. Este, a su vez, preguntará al DNS del registrador, y este al DNS del sitio web que quieras visitar. Este último devolverá la IP correspondiente, que deshaciendo el camino llegará hasta tu ordenador para que puedas conectarte al servidor de _genbeta.com_.

Phishing y cambio de DNS

Melbourne IT

El SEA (Syrian Electronic Army) consiguió acceder al panel de control de MelbourneIT con un ataque de phishing dirigido a sus _resellers_ (revendedores). Una vez conseguido el usuario y contraseña de uno de ellos, entraron y cambiaron los registros DNS para varios dominios. De esta forma, cuando llegase una consulta DNS al servidor de MelbourneIT, éste preguntaría a los DNS del SEA que devolverían una dirección IP errónea.

Los dos mayores sitios afectados fueron The New York Times y Twitter. En el primer caso, el dominio nytimes.com dejó de responder al estar vinculado a una IP errónea. En el segundo, el dominio afectado fue twimg.com. Como podréis imaginar por el nombre, este servidor gestionaba las imágenes de Twitter y por eso muchos avatares y fotos dejaron de verse durante unas horas.

La culpa es de la caché

El equipo técnico de Verisign (el encargado de gestionar todos los dominios .com) junto con los de Google, OpenDNS, Cloudflare y MelbourneIT, corrigieron a las pocas horas el cambio. Sin embargo, esto no impidió que muchos usuarios siguiesen sin poder cargar el NYT o ver imágenes de Twitter. ¿La culpa? De la caché.

Como los servidores DNS cachean los resultados, los cambios tardan en propagarse y llegar al usuario.

Como os podréis imaginar, con tanta navegación por Internet, la cantidad de consultas DNS que se hacen por minuto es impresionante. Para ahorrar gran parte de ese tráfico, los servidores DNS _cachean_ los resultados: los guardan temporalmente para no tener que repetir toda la cadena de preguntas.

Esto tiene una desventaja: los cambios en un servidor DNS tardan hasta 24 horas en propagarse y llegar a todos los usuarios. Por eso cuando revirtieron el cambio no volvió todo a la normalidad de inmediato. Por suerte, la intervención de Google y OpenDNS (dos de los servidores DNS más usados) y el bajo TTL (Time To Live, tiempo que tarda en caducar un registro cacheado) para nytimes.com hicieron más rápido el cambio para los usuarios.

A estas horas todo está arreglado, y los dominios afectados tienen activado un bloqueo para evitar cualquier nuevo intento de cambiar los DNS. Y la principal conclusión que podemos sacar de esta historia es lo poderoso que sigue siendo el phishing y la ingeniería social (el punto menos seguro de un sistema es la interfaz silla-teclado, dicen).

Más información | Cloudflare | The New York Times

Comentarios cerrados
Inicio