El DNS tunneling es una técnica que esconde datos robados dentro de consultas DNS legítimas para sacarlos de una red sin levantar sospechas. Funciona porque casi ningún cortafuegos bloquea el puerto 53: el DNS es el listín telefónico de internet y dejar de resolver dominios significaría dejar de navegar. Los atacantes lo saben. Convierten ese tráfico de confianza en un canal encubierto para la exfiltración DNS de credenciales, bases de datos o claves. Y lo hacen byte a byte, disfrazado de peticiones inocentes a subdominios raros. En MataSpam vemos pasar mucho correo con malware que, una vez dentro, monta exactamente este tipo de túnel. Aquí te explicamos cómo funciona la tunelización DNS, por qué cuesta tanto detectarla y qué puedes hacer al respecto.
Qué es el DNS tunneling y por qué funciona
El protocolo DNS traduce nombres como piqture.cat en direcciones IP. Para eso, tu equipo lanza una consulta y un servidor responde. Sencillo.
El truco del dns ataque consiste en codificar información dentro de esas consultas. Un atacante registra un dominio, digamos malo.example, y configura su servidor autoritativo. Luego el malware en el equipo víctima envía peticiones del tipo ZGF0b3Nyb2JhZG9z.malo.example. Ese subdominio largo no es un nombre real: son datos ocultos dns codificados en Base32 o Base64.
Cuando la consulta atraviesa el resolver corporativo y llega al servidor del atacante, este la descodifica. La respuesta DNS, a su vez, puede contener comandos para el malware. Tienes un canal bidireccional completo montado sobre tráfico que nadie mira con lupa.
Funciona por tres razones concretas:
- El puerto 53 casi nunca se bloquea. Cerrarlo rompe la navegación entera.
- El DNS es recursivo. La consulta salta de servidor en servidor, así que la máquina infectada ni siquiera necesita hablar directamente con el atacante.
- Pocos equipos inspeccionan el contenido de las consultas. Se vigila el web, el correo, las transferencias de archivos. El DNS suele quedar fuera del radar.
Casos reales y herramientas que usan los atacantes
Esto no es teórico. La exfiltración dns lleva años apareciendo en incidentes documentados.
El grupo OilRig (también llamado APT34), vinculado a operaciones de Oriente Medio, ha usado DNSExfiltrator y túneles propios para sacar datos de objetivos gubernamentales. El malware FrameworkPOS, que atacó terminales de punto de venta, exfiltró números de tarjetas de crédito codificándolos en consultas DNS. La campaña de SUNBURST contra SolarWinds en 2020 usó el DNS como canal de baliza para identificar víctimas antes de activar la segunda fase.
Las herramientas son públicas y conocidas:
| Herramienta | Uso típico |
|---|---|
| Iodine | Túnel IP completo sobre DNS, pensado para saltarse portales cautivos |
| dnscat2 | Canal de mando y control cifrado por DNS |
| DNSExfiltrator | Exfiltración de archivos punto a punto |
| OzymanDNS | Una de las primeras pruebas de concepto, todavía citada |
El patrón es siempre el mismo: el malware entra por un vector clásico, a menudo un adjunto. Muchas campañas combinan esto con otras trampas, como el phishing a través de archivos compartidos de Google Drive, que entrega el primer payload antes de que el túnel siquiera exista. Una vez dentro, el túnel se convierte en la salida de emergencia de tus datos.
Cómo detectar la tunelización DNS
La buena noticia: la tunelización dns deja huellas si sabes dónde mirar. El tráfico legítimo y el de un túnel se comportan distinto.
Señales que delatan un canal encubierto:
- Subdominios anormalmente largos. Un nombre real rara vez pasa de unos pocos caracteres. Cadenas de 50 o más en Base32 cantan.
- Volumen de consultas desproporcionado hacia un mismo dominio. Una máquina que consulta cientos de subdominios distintos de algo.example por minuto no está navegando.
- Tipos de registro inusuales. Mucho uso de TXT, NULL o CNAME donde esperarías registros A normales.
- Entropía alta en los nombres. Los datos codificados parecen aleatorios; los dominios reales tienen estructura legible.
- Dominios recién registrados o con TTL muy bajos.
Para defenderte sin montar un SOC entero:
- Usa un resolver con filtrado como Quad9 (9.9.9.9) o Cloudflare for Families, que bloquean dominios maliciosos conocidos.
- Activa el registro de consultas DNS en tu firewall o en tu servidor interno. Sin logs no hay detección posible.
- Despliega herramientas de análisis como Zeek (antes Bro) o reglas de Suricata que miden longitud y frecuencia de las consultas.
- Limita qué máquinas pueden hablar DNS al exterior. Solo el resolver corporativo debería salir por el puerto 53. El resto, bloqueado.
- Comprueba si tus credenciales ya circulan en recursos de seguridad o directamente en Have I Been Pwned. Si el túnel ya sacó datos, querrás saberlo cuanto antes.
Estas técnicas comparten ADN con otras amenazas sigilosas. El malware en firmware y BIOS/UEFI persigue el mismo objetivo —pasar desapercibido— pero desde una capa todavía más profunda del sistema.
Qué hacer si sospechas que tienes un túnel activo
Si ves indicios de datos ocultos dns saliendo de tu red, actúa rápido y en orden.
Primero, aísla. Desconecta la máquina sospechosa de la red. Cada minuto que pasa son más datos fuera.
Segundo, captura evidencia antes de apagar. Guarda los logs DNS y una captura de tráfico. Apagar en frío borra pistas de memoria que pueden importar.
Tercero, identifica el dominio de destino y bloquéalo en todos tus resolvers. Pásalo por VirusTotal para confirmar si ya está catalogado como malicioso.
Cuarto, asume compromiso de credenciales. Si el túnel estuvo activo, rota contraseñas y claves API. Activa la verificación en dos pasos en todo lo que puedas; nuestra guía para proteger una cuenta paso a paso sirve de plantilla mental para cualquier servicio.
Y revisa el vector de entrada. El túnel es la consecuencia, no la causa. Casi siempre empezó por un correo que no debería haber llegado a la bandeja.
Preguntas frecuentes
Se puede bloquear completamente el DNS tunneling?
No al cien por cien, porque cerrar el DNS rompería internet. Pero sí se reduce drásticamente forzando todo el tráfico a través de un resolver con filtrado, registrando las consultas y bloqueando que las máquinas individuales salgan por el puerto 53. La detección por comportamiento es tu mejor defensa.
El DNS tunneling es ilegal?
La técnica en sí es neutral: se usa de forma legítima para saltarse portales cautivos de wifi o para diagnóstico de red. Se vuelve ilegal cuando se emplea para exfiltrar datos sin autorización, lo que en España encaja en los delitos de descubrimiento y revelación de secretos y daños informáticos del Código Penal.
Qué tipos de registro DNS usan los atacantes?
Sobre todo registros TXT, porque admiten cadenas de texto largas, y NULL o CNAME para canales bidireccionales. Un pico de consultas TXT hacia un dominio poco habitual es una de las señales más fiables de un túnel activo.
Un antivirus normal detecta un túnel DNS?
Rara vez por sí solo. Los antivirus tradicionales analizan archivos y procesos, no patrones de tráfico DNS. Necesitas herramientas de análisis de red como Zeek o Suricata, o un resolver con detección de anomalías, para cazar la tunelización en marcha.
Cómo entra el malware que monta el túnel?
Casi siempre por correo: un adjunto malicioso, un enlace a un documento trampa o una macro. El túnel se construye después, ya con el equipo infectado. Por eso filtrar el email en origen corta el problema antes de que exista.
El siguiente paso
Abre ahora el registro DNS de tu firewall o router y ordena las consultas por dominio de destino. Si encuentras un dominio que recibe cientos de subdominios distintos y largos desde una misma máquina, acabas de pillar un posible túnel: aísla ese equipo y bloquea el dominio. Y si quieres atacar la raíz del problema —el correo por el que entra el malware—, explora el resto de artículos del blog de MataSpam sobre cómo blindar tu bandeja de entrada.
