Login Probar gratis
DNS spoofing: cuando te redirigen a webs falsas sin que te des cuenta

DNS spoofing: cuando te redirigen a webs falsas sin que te des cuenta

por MataSpam Ciberataques

Imagina que escribes la dirección de tu banco en el navegador, todo parece normal, la página carga con su logo, sus colores, su formulario de siempre... pero no estás en tu banco. Estás en una copia perfecta montada por un ciberdelincuente que acaba de robarte las credenciales mientras tú pensabas que estabas comprobando el saldo. Bienvenido al maravilloso mundo del DNS spoofing, también conocido como envenenamiento DNS o DNS hijacking. Este tipo de ataque de redirección DNS es uno de los más traicioneros que existen, porque funciona a un nivel que el usuario medio ni siquiera sabe que existe. Un DNS falso puede convertir tu navegación cotidiana en una trampa invisible, y lo peor es que tu antivirus probablemente ni se enterará. Desde MataSpam, donde lidiamos con las peores basuras de internet a diario, te explicamos cómo funciona esta estafa y, sobre todo, cómo protegerte.

Qué es el DNS y por qué deberías importarte

Antes de entrar en materia, un poco de contexto para los que no se pasan el día leyendo RFCs (gente sana, en definitiva). El DNS (Domain Name System) es básicamente la agenda de contactos de internet. Cuando escribes tubanco.com en el navegador, tu ordenador no tiene ni idea de qué hacer con eso. Necesita una dirección IP, algo como 185.45.67.89, para saber a qué servidor conectarse. Ahí entra el DNS: traduce nombres legibles por humanos a direcciones IP legibles por máquinas.

El proceso funciona así:

  1. Escribes tubanco.com en el navegador.
  2. Tu sistema consulta al servidor DNS configurado (normalmente el de tu proveedor de internet).
  3. El servidor DNS responde con la IP correcta del banco.
  4. Tu navegador se conecta a esa IP y carga la web.

Simple, elegante, y diseñado en los años 80 cuando internet era cuatro universidades que se fiaban entre ellas. Ahí está el problema: el protocolo DNS no fue diseñado con seguridad en mente. Las consultas van en texto plano, sin autenticación, sin cifrado. Es como enviar una postal preguntando "¿dónde vive mi banco?" y fiarte de que nadie la intercepte ni cambie la respuesta.

Cómo funciona el DNS spoofing: anatomía de un engaño

El DNS spoofing o envenenamiento DNS consiste en manipular las respuestas DNS para que, cuando tu ordenador pregunte "¿cuál es la IP de tubanco.com?", reciba una IP falsa controlada por el atacante. Hay varias técnicas para conseguirlo, y ninguna requiere que el atacante sea un genio de nivel NSA.

Envenenamiento de caché DNS

Esta es la técnica clásica, popularizada por el investigador Dan Kaminsky en 2008 con una vulnerabilidad que hizo temblar internet (CVE-2008-1447). El atacante envía respuestas DNS falsificadas al servidor DNS de tu proveedor antes de que llegue la respuesta legítima. Si lo consigue, el servidor guarda esa respuesta falsa en su caché y la sirve a todos los usuarios que pregunten por ese dominio. Un solo servidor DNS envenenado puede afectar a miles de usuarios durante horas.

Si te interesa este tema, te recomendamos leer nuestro artículo sobre Ataques de ransomware a hospitales: cuando el cibercrimen pone vidas en peligro, donde profundizamos en aspectos clave relacionados.

DNS hijacking en el router

¿Recuerdas la contraseña de tu router? ¿Sigue siendo admin/admin? Pues un atacante puede acceder a tu router (muchas veces con credenciales por defecto o explotando vulnerabilidades conocidas como la CVE-2019-19824 en routers D-Link) y cambiar los servidores DNS configurados. A partir de ese momento, todas las consultas DNS de todos los dispositivos de tu red pasan por servidores controlados por el atacante. Esta técnica de redirección DNS es especialmente común en ataques masivos: en 2019, la campaña DNSpionage comprometió routers de proveedores de internet en Oriente Medio para redirigir tráfico gubernamental.

Man-in-the-middle en redes WiFi

En una WiFi pública (cafetería, aeropuerto, hotel), un atacante puede interceptar las consultas DNS entre tu dispositivo y el router usando herramientas como Ettercap o Bettercap. Ni siquiera necesita comprometer el router: basta con un portátil y un poco de paciencia. Cada consulta DNS que hagas puede ser respondida con un DNS falso que te lleve a donde el atacante quiera.

Malware que modifica el DNS local

Algunos troyanos, como el infame DNSChanger (que en 2011 infectó más de 4 millones de ordenadores), modifican el archivo hosts de tu sistema o cambian la configuración DNS del adaptador de red. Es el DNS hijacking más directo: ni siquiera necesita interceptar nada en la red, porque el engaño ocurre dentro de tu propio equipo.

Casos reales: esto no es ciencia ficción

Si piensas que el envenenamiento DNS es algo teórico que solo pasa en conferencias de hackers, aquí van algunos ejemplos que demuestran lo contrario:

  • Sea Turtle (2017-2019): Un grupo APT (probablemente patrocinado por un estado) comprometió registradores de dominios y proveedores DNS en Oriente Medio y Norte de África. Redirigieron dominios de ministerios, embajadas y empresas de telecomunicaciones a servidores propios para robar credenciales. Documentado por Cisco Talos, afectó a más de 40 organizaciones en 13 países.
  • Ataque a MyEtherWallet (2018): Atacantes secuestraron rutas BGP de un proveedor DNS y redirigieron el tráfico de MyEtherWallet.com a un servidor falso. Robaron aproximadamente 150.000 dólares en criptomonedas en cuestión de horas. Los usuarios veían un certificado SSL inválido, pero muchos lo ignoraron.
  • DNSChanger (2007-2011): Una organización criminal estonia infectó más de 4 millones de ordenadores en más de 100 países, modificando sus configuraciones DNS para redirigir búsquedas y generar ingresos por publicidad fraudulenta. El FBI acabó tomando el control de los servidores DNS falsos en la Operación Ghost Click.
  • Ataque a bancos brasileños (2017): Atacantes comprometieron los registros DNS de uno de los mayores bancos de Brasil y redirigieron todo el tráfico web, email y FTP a servidores falsos durante más de 5 horas. Según Kaspersky, fue "el mayor atraco a un banco de la historia" a nivel de DNS.

Como ves, el DNS spoofing no discrimina: gobiernos, bancos, exchanges de cripto, usuarios domésticos... cualquiera puede ser víctima cuando se manipula algo tan fundamental como la resolución de nombres.

Cómo detectar y protegerte del DNS spoofing

Vale, ya te hemos metido el miedo en el cuerpo. Ahora la parte constructiva. Protegerte de la redirección DNS y el DNS falso no requiere un máster en ciberseguridad, pero sí un poco de atención y algunas configuraciones que la mayoría de la gente ignora.

Si te interesa este tema, te recomendamos leer nuestro artículo sobre CSRF: el ataque que ejecuta acciones en tu nombre sin que lo sepas, donde profundizamos en aspectos clave relacionados.

Señales de que algo huele mal

  • Certificado SSL inválido o ausente: Si tu banco de repente no tiene HTTPS o el navegador te avisa de un certificado incorrecto, no ignores el aviso. Jamás.
  • Redirecciones extrañas: Escribes una URL y acabas en otra página, o la web tarda mucho más de lo normal en cargar.
  • Consultas DNS sospechosas: Herramientas como Wireshark o nslookup te permiten verificar a qué IP resuelve un dominio y compararla con la esperada.
  • Cambios en la configuración de red: Si tus servidores DNS han cambiado sin que tú los tocaras, tienes un problema.

Medidas de protección efectivas

  1. Usa DNS cifrado (DoH o DoT): DNS over HTTPS (DoH) o DNS over TLS (DoT) cifran las consultas DNS, impidiendo que sean interceptadas o manipuladas en tránsito. Firefox y Chrome ya lo soportan de forma nativa. Actívalo.
  2. Configura servidores DNS de confianza: Usa proveedores como Cloudflare (1.1.1.1), Google DNS (8.8.8.8) o Quad9 (9.9.9.9), que implementan DNSSEC y otras protecciones. Mejor aún si usas sus versiones con filtrado de malware (1.1.1.2 de Cloudflare o 9.9.9.9 de Quad9).
  3. Habilita DNSSEC: Las extensiones de seguridad DNS (DNSSEC) firman digitalmente las respuestas DNS, haciendo que el envenenamiento DNS sea mucho más difícil. Verifica que tu proveedor DNS lo soporte y, si gestionas dominios, actívalo en tu registrador.
  4. Cambia las credenciales de tu router: Por favor. En serio. Si tu router sigue con la contraseña de fábrica, cámbiala ahora mismo. Y actualiza el firmware mientras estás en ello.
  5. Evita WiFi públicas sin VPN: Una VPN cifra todo tu tráfico, incluidas las consultas DNS (si está bien configurada). Si debes usar WiFi pública, una VPN es tu mejor aliada contra el DNS hijacking local.
  6. Monitoriza tus DNS: Herramientas como DNSLeakTest.com te permiten verificar qué servidores DNS estás usando realmente. Si aparecen servidores que no reconoces, investiga.
  7. Mantén tu sistema actualizado: Muchos ataques de DNS spoofing explotan vulnerabilidades conocidas con parches disponibles. Actualizar no es opcional.

Herramientas para verificar y diagnosticar

Si quieres ponerte el sombrero de detective (o simplemente verificar que no te están engañando), estas herramientas te ayudarán a detectar posibles ataques de DNS falso:

HerramientaUsoGratis
nslookup / digConsultar DNS manualmente y comparar respuestasSí (incluidas en el SO)
WiresharkCapturar y analizar tráfico DNS en tiempo real
DNSLeakTest.comVerificar qué servidores DNS estás usando
GRC DNS BenchmarkTestear rendimiento y seguridad de servidores DNS
VirusTotalComprobar si un dominio/IP está asociado a actividad maliciosa
Quad9 Threat MapVisualizar amenazas DNS bloqueadas globalmente

Un truco rápido: si sospechas de redirección DNS, abre una terminal y ejecuta nslookup tubanco.com 1.1.1.1 para consultar directamente a Cloudflare. Compara el resultado con nslookup tubanco.com (que usa tu DNS configurado). Si las IPs difieren, alguien está jugando sucio.

Preguntas frecuentes

¿El DNS spoofing puede afectarme si uso HTTPS?

HTTPS ayuda, pero no es infalible. Si el atacante consigue un certificado válido para el dominio suplantado (algo cada vez más difícil pero no imposible, como demostró el caso de DigiNotar en 2011), HTTPS no te salvará. Además, muchos usuarios ignoran las advertencias de certificado del navegador. La combinación de HTTPS + DNSSEC + DNS cifrado (DoH/DoT) es la defensa más robusta contra el envenenamiento DNS.

¿Mi antivirus me protege del DNS hijacking?

Depende. Algunos antivirus modernos monitorizan cambios en la configuración DNS del sistema y te alertan. Pero si el ataque ocurre a nivel de red (envenenamiento del servidor DNS de tu proveedor o manipulación en el router), tu antivirus no verá nada raro. No confíes exclusivamente en el antivirus para este tipo de amenazas: complementa con DNS cifrado y DNSSEC.

¿Cómo sé si mi router ha sido comprometido?

Accede al panel de administración de tu router y verifica los servidores DNS configurados. Si no reconoces las direcciones o no son las de tu proveedor de internet, alguien podría haber aplicado un DNS falso. También revisa si hay usuarios administradores que no creaste y si el firmware está actualizado. Herramientas como Router Scan o F-Secure Router Checker pueden ayudarte a detectar configuraciones sospechosas.

¿Es ilegal hacer DNS spoofing?

Sí, rotundamente. En España, el DNS spoofing con fines maliciosos está tipificado en los artículos 197 y 248 del Código Penal (delitos de descubrimiento de secretos y estafa informática), con penas de prisión de hasta 4 años. A nivel europeo, la Directiva NIS2 refuerza las obligaciones de ciberseguridad. Otra cosa es el uso en pentesting autorizado o entornos de laboratorio, que es perfectamente legal y necesario para la investigación en seguridad.

¿Qué hago si creo que he sido víctima de un ataque DNS?

Primero, no entres en pánico (bueno, un poco de pánico controlado está bien). Cambia inmediatamente las contraseñas de cualquier servicio al que hayas accedido durante el período sospechoso, preferiblemente desde otro dispositivo y otra red. Verifica y restaura la configuración DNS de tu equipo y router. Ejecuta un escaneo completo con tu antivirus. Si has introducido datos bancarios, contacta con tu banco. Y denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado o a través del INCIBE (017).

Conclusión

El DNS spoofing es de esos ataques que funcionan precisamente porque nadie piensa en ellos. Todos nos preocupamos por los virus, el phishing por email (para eso está MataSpam, claro), las contraseñas débiles... pero pocos se paran a pensar que la propia infraestructura de internet que traduce nombres a direcciones puede ser manipulada. La buena noticia es que protegerte no es complicado: DNS cifrado, DNSSEC, contraseñas decentes en el router y un poco de sentido común te ponen muy por delante del usuario medio. Si te ha gustado este artículo, explora el resto de nuestro blog: tenemos más contenido sobre ciberataques, privacidad y todo lo que necesitas saber para que los malos no te arruinen el día.

dns spoofing envenenamiento dns dns hijacking redirección dns dns falso
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware
Ciberataques

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira
Ciberataques

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas
Ciberataques

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas

← Volver al blog