DNS mal configurado: riesgos y amenazas ocultos explicados

Cuando las personas navegan por sitios web en línea, sus dispositivos dependen del Sistema de Nombres de Dominio (DNS) para encontrar el servidor correcto detrás del nombre de dominio. El DNS también se conoce como la guía telefónica de Internet.

El DNS es como un mapa digital que guía a los navegadores a sus destinos. Cualquier error o configuración incorrecta en este mapa (DNS) puede afectar la velocidad, la seguridad y la fiabilidad. Puede:

• Hacer que el sitio web sea inaccesible para los usuarios
• Impedir el envío de correos electrónicos
• Aumentar la exposición del sistema a ciberataques

Esta entrada del blog analizará algunas de las configuraciones incorrectas de DNS más comunes. Aprenderá cómo ocurren y qué riesgos y amenazas pueden representar para sus activos en línea, como sitios web, aplicaciones y sistemas de red.

¿Por qué es importante una configuración correcta del DNS?

Si necesita una experiencia de internet funcional y segura, una configuración correcta del DNS es imprescindible.

¿Por qué?

Dado que el DNS permite que su dispositivo se conecte a un sitio web a través de una red, traduce los nombres de dominio a direcciones IP, lo que permite que el dispositivo se comunique sin problemas.

Cualquier configuración incorrecta en los registros DNS asociados a un dominio o dispositivo puede causar interrupciones significativas. Sin embargo, si se configura correctamente, el DNS permite que los dispositivos se comuniquen de forma fiable.

Estos son algunos de los beneficios que puede esperar de una configuración correcta del DNS. Obtendrás:

• Tiempos de carga más rápidos y menor latencia.
• Entrega de contenido eficiente.
• Protección contra phishing y malware.
• Prevención de ataques de suplantación de identidad.
• Tiempo de inactividad mínimo o nulo.
• Enrutamiento preciso de correo electrónico y mucho más.

¿Qué es un DNS mal configurado?

Un DNS mal configurado significa que hay un error en la configuración del DNS, que puede deberse a un error humano u otros problemas. Estos errores pueden interrumpir la comunicación entre dispositivos y sitios web a través de una red. Además, también se exponen a amenazas de seguridad.

A continuación, se presentan algunas de las causas comunes de una configuración incorrecta del DNS:

• Errores tipográficos al agregar registros DNS nuevos o actualizar antiguos.
• Los registros DNS obsoletos u obsoletos pueden dirigir a los usuarios a recursos incorrectos.
• Los enrutadores obsoletos o que funcionan mal también causan errores en la configuración del DNS.
• Una mala conexión a internet también puede provocar errores de DNS.
• Los problemas en los servidores DNS de su proveedor de servicios de internet (ISP) también interrumpen la resolución del DNS.

Tipo de DNS Configuraciones incorrectas

A continuación, se detallan los distintos tipos de configuraciones incorrectas de DNS que suelen experimentar los usuarios.

1. Registros A o AAAA incorrectos

Los registros A y AAAA son responsables de apuntar un dominio a la dirección IP correcta. Un registro asocia un nombre de dominio con una dirección IPv4, mientras que un registro AAAA asocia un nombre de dominio con una dirección IPv6.

Los registros A y AAAA suelen configurarse incorrectamente debido a errores humanos. Esto suele ocurrir cuando se comete un error tipográfico al introducir las direcciones IP manualmente. Esto suele ocurrir al migrar un sitio web a otro servidor.

A veces, los proveedores de servicios de alojamiento cambian la dirección IP del servidor. Debe reemplazar manualmente la dirección IP antigua en los registros DNS por la nueva. Si no se hace a tiempo, puede causar una configuración incorrecta del DNS.

Riesgo:

Cuando los registros A o AAAA son incorrectos, los usuarios que intentan visitar su sitio son redirigidos al servidor equivocado o a ninguno. Esto provoca la inaccesibilidad total o parcial del sitio web.

A veces, puede ocurrir algo peor. Si la dirección IP incorrecta pertenece a un agente malicioso, los usuarios pueden ser redirigidos a un sitio de phishing.

La solución más sencilla para resolver esta configuración incorrecta es verificar la IP pública de su servidor. Si encuentra algún error o falta algo, actualice los registros A/AAAA según corresponda. Una vez actualizados, verifique la propagación del DNS para asegurarse de que la actualización global (propagación) se haya completado.

2. Registros MX faltantes o mal configurados

Los registros MX en la configuración DNS de un dominio definen los servidores de correo que gestionan la entrega de correo electrónico. Envían y enrutan el tráfico de correo electrónico en nombre de ese dominio en particular.

La configuración incorrecta de los registros MX se produce cuando la configuración está mal configurada, tiene valores incorrectos o apunta a servidores de correo inexistentes.

Riesgo:

Los correos electrónicos enviados a su dominio pueden ser rechazados, rebotados o marcados como spam. No configurar un registro MX significa que los servidores de correo. No sé dónde entregar los mensajes enviados a un dominio.

Utilice nuestra herramienta dedicada de Búsqueda MX para verificar que el registro MX correcto esté configurado para su dominio. Si encuentra que faltan o son incorrectos, inicie sesión en el panel de control de su dominio y actualice los registros MX. Para que el proceso sea fluido y eficiente, utilice la configuración recomendada por el proveedor de correo.

3. Entradas CNAME incorrectas o duplicadas

CNAME (nombre canónico) es un tipo de registro DNS que se utiliza para apuntar un dominio o alias al nombre de dominio real (podría decirse "canónico"). Cuando un usuario intenta acceder al dominio alias, en lugar de devolver la dirección IP correctamente, el servidor DNS le indicará que busque el nombre canónico.

Los errores de configuración suelen ocurrir cuando alguien intenta agregar registros CNAME en el DNS del dominio raíz. Tenga en cuenta que, por lo general, no se puede agregar un registro CNAME al dominio raíz; Solo se pueden agregar mediante subdominios.

Otra razón para una configuración incorrecta es que, a veces, existen varios registros CNAME para el mismo nombre.

Riesgo:

Los registros CNAME duplicados o mal colocados pueden causar bucles, conflictos o fallos en la resolución de DNS, lo que resulta en recursos inaccesibles.

Use CNAME solo para subdominios y nunca mezcle CNAME con otros registros para el mismo nombre. Una vez configurado un registro CNAME, valídelo manualmente mediante la Búsqueda DNS.

4. Registros NS no válidos o desactualizados

Los registros NS (Servidor de Nombres) se delegan a la administración de DNS de un dominio. Estos registros constituyen el servidor físico que almacena todos los demás registros DNS de un dominio.

Los errores en los registros NS se producen cuando están desactualizados, apuntan a un proveedor antiguo o contienen errores tipográficos. Esto suele ocurrir al cambiar de proveedor de alojamiento.

Riesgo:

Los registros NS mal configurados provocan una resolución de DNS inconsistente o fallida en diferentes regiones. Los solucionadores de DNS no podrán encontrar los servidores de nombres autorizados ni resolver las consultas relacionadas con el dominio de los usuarios. Los servicios podrían dejar de funcionar si los solucionadores encuentran servidores NS que no responden o que son incorrectos.

Realice la búsqueda NS para comprobar los servidores de nombres de su proveedor de DNS actual. Si los encuentra mal configurados, actualice los registros NS en el registrador de dominios. Después de la actualización, utilice el verificador de propagación de DNS para validar los cambios globalmente.

5. Registros TXT mal configurados (SPF, DKIM, DMARC)

Los registros TXT en DNS están diseñados para facilitar la autenticación de los servidores de correo electrónico y verificar la propiedad del dominio. También ayuda a prevenir ataques de suplantación de identidad (spoofing) de correo electrónico.

Las configuraciones incorrectas en los registros TXT pueden ocurrir debido a varios factores, como una sintaxis incorrecta, mecanismos no compatibles o entradas faltantes.

Riesgo:

Los registros TXT mal configurados provocan diversos problemas, como:

• Los correos electrónicos originales suelen acabar en la carpeta de spam o son rechazados.
• Mayor riesgo de suplantación de identidad (spoofing) y ataques de phishing.

Por ejemplo:

Un registro TXT faltante, como un registro SPF, permite a los hackers enviar Correos electrónicos falsos que dicen provenir de tu dominio.

Primero, realiza la búsqueda TXT para verificar la precisión de los registros propagados previamente. Si encuentras que están mal configurados, ve al panel de control de tu dominio y actualízalos correctamente. Al actualizar, asegúrate de usar la sintaxis correcta y de configurar DKIM con una clave pública válida.

6. Transferencias de zona sin restricciones (AXFR habilitado)

AXFR, también conocido como transferencia de zona completa, es un protocolo DNS que se utiliza para transferir archivos de zona de un servidor (principal) a otro (secundario).

Riesgo:

Dejar AXFR habilitado puede exponer toda la estructura DNS al público. Esto supone un riesgo de seguridad significativo, ya que permite a los hackers acceder a toda la zona DNS y, potencialmente, llevar a cabo ciberataques.

Restringe las transferencias de zona a direcciones IP dedicadas o deshabilítalas si no se necesitan en ese momento.

7. Resolvedores DNS abiertos

Los resolvedores DNS abiertos están configurados para responder a consultas recursivas desde cualquier dirección IP. Estos servidores DNS están disponibles públicamente y no requieren autenticación ni autorización para realizar búsquedas.

Riesgo:

Los hackers pueden usar los resolvedores DNS abiertos para amplificar Ataques DDoS (Denegación de Servicio Distribuido). También pueden exponer el historial de consultas y ralentizar las respuestas legítimas. Además, pueden bloquear sitios web o causar interrupciones más extensas de la red.

Limite la recursión a redes confiables y configure un firewall para bloquear o monitorear el tráfico externo.

8. Configuración incorrecta de TTL (tiempo de vida)

El TTL (tiempo de vida) en DNS se refiere al periodo durante el cual los registros DNS de un dominio o dispositivo permanecen en caché antes de actualizarse.

Riesgo:

Configurar un TTL demasiado alto o demasiado bajo puede generar problemas de rendimiento o propagación.

• Un TTL alto = propagación lenta.
• Un TTL bajo = mayor carga de consultas DNS.

Por ejemplo:

Cambiar una IP mientras el TTL es 86400 (24 horas) significa que los usuarios aún podrían resolver la IP anterior durante un día completo.

Utilice un TTL equilibrado; generalmente, se recomiendan 3600 segundos.

9. Registros PTR faltantes (problemas de DNS inverso)

Los registros PTR (registros de puntero) son lo opuesto a los registros "A". Indican la dirección IP asociada a un nombre de dominio. Los registros PTR se utilizan principalmente para búsquedas DNS inversas, cuyo objetivo es determinar el nombre de dominio asociado a una dirección IP determinada.

Riesgo:

Los registros PTR se utilizan en búsquedas DNS inversas para solucionar problemas de entrega de correo electrónico y prevenir el spam. Si un registro PTR se configura incorrectamente o falta, se detendrán los servicios de correo electrónico asociados al nombre de dominio. Esto bloqueará todos los correos electrónicos que se envían desde ese nombre de dominio en particular. Además, puede hacer que su red parezca sospechosa para sistemas y dispositivos externos. Para resolver los problemas relacionados con el DNS inverso, solicite a su proveedor de servicios de internet (ISP) o proveedor de alojamiento que reconfigure la configuración del DNS inverso. 10. Falta de DNSSEC o DNSSEC mal configurado DNSSEC (Extensión de Seguridad del Sistema de Nombres de Dominio) se utiliza para proteger los sistemas DNS contra manipulaciones. Funcionan firmando digitalmente los registros DNS, lo que proporciona autenticidad a los datos DNS. Riesgo: Si los registros DNSSEC están mal configurados, pueden provocar ataques de suplantación de identidad (spoofing). Con esto, los hackers pueden envenenar la caché y redirigir el tráfico a sitios web maliciosos. Además, una configuración DNSSEC defectuosa puede hacer que tu sitio web sea inaccesible para los resolutores con DNSSEC habilitado.

Para evitar esto, supervisa constantemente la expiración de DNSSEC y renueva la firma de las zonas con prontitud.

Ejemplos reales de desastres por configuración incorrecta de DNS

Para comprender mejor las amenazas relacionadas con los registros DNS mal configurados, compartimos algunos ejemplos reales a continuación.

Interrupción de Facebook (octubre de 2021)

Según The Guardian, Facebook quedó completamente inaccesible durante casi seis horas debido a una configuración de DNS y BGP. Error.

Los ingenieros de Facebook emitieron un comando que accidentalmente derribó todas sus conexiones troncales, incluidos los servidores DNS. Con los servidores DNS inaccesibles, la resolución de nombres de dominio para todos los servicios falló a nivel mundial.

Impacto:

• Miles de millones de usuarios perdieron el acceso
• Los sistemas internos de Facebook, incluyendo las credenciales y herramientas de los empleados, dejaron de funcionar
• Costo estimado: 6 mil millones de dólares en pérdidas de ingresos

Este incidente podría haberse evitado si se hubieran implementado pruebas internas exhaustivas de los cambios de configuración de la red y se hubieran utilizado servidores DNS de respaldo externos o herramientas de monitorización.

Configuración incorrecta del DNS de Microsoft (2001)

En enero de 2001, los sitios web de Microsoft quedaron completamente inaccesibles durante Casi 23 horas debido a un error de configuración de DNS.

Microsoft tenía todos sus servidores DNS autorizados para los principales dominios (como microsoft.com) alojados en la misma subred IP e infraestructura de red.

Cuando una configuración incorrecta del enrutador hizo que esa subred fuera inaccesible, nadie pudo resolver los nombres de dominio de Microsoft. Esto dejó prácticamente sin servicio a casi todos sus servicios.

Impacto:

• 23 horas de inactividad global para todos los servicios de Microsoft
• Interrupción significativa para usuarios de Hotmail y clientes empresariales
• Daños en la credibilidad de la marca y la confianza pública

Esto podría haberse evitado si los servidores DNS se hubieran configurado correctamente para separar las redes de forma lógica.

Lección para la industria:

"Nunca pongas todos los huevos del DNS en la misma canasta".

Conclusión

Una configuración correcta del DNS es crucial para una comunicación fluida entre dispositivos y sitios web en una red. Las configuraciones incorrectas del DNS pueden provocar diversos problemas.s, incluyendo sitios web inaccesibles, correos electrónicos que no se entregan y un aumento de ciberataques.

Esta entrada de blog analiza algunas de las configuraciones de DNS incorrectas más comunes, junto con los riesgos que representan y las posibles maneras de prevenirlas. Para leer más sobre temas relacionados con DNS, visite nuestra sección de blog.