He decidido hablar sobre este problema que está ahora mismo a la orden del día porque ya que este es un medio que depende por entero de internet y estoy convencido de que la inmensa mayoría de la gente que entra a visitar esta web también se da un paseo más bien largo por la red de redes. Aunque pensádolo bien creo que a lo mejor he puesto un título demasiado alarmante…
Antes de nada no alarmarse, el fallo que voy a comentar no va a suponer el fin del mundo libre ni nada de eso. Para entender todo el asunto explicaré muy brevemente que es un servidor DNS y porqué debería importarnos. Las páginas web a las que solemos acceder están alojadas en distintos ordenadores repartidos por todo el mundo (los llamados servidores). Cuando una persona quiere acceder a esa página suele introducir el nombre de la página en el navegador (www.google.es, por ejemplo), pero la realidad es que para acceder a otro ordenador a través de internet lo que se necesita es su dirección IP, una secuencia de números que se supone única para cada ordenador conectado a la red (esto realmente no es cierto, pero no nos influye en este caso). Aquí es donde entra en juego el servidor DNS (Domain Name System) que se encarga de resolver los nombres de dominio. En resumidas cuentas, lo que hace este servidor es traducir el nombre que introduces en el navegador a la verdadera dirección IP del ordenador que aloja la web a la que quieres acceder. El proceso es mucho más complejo de lo explicado aquí pero de momento nos vale y nos sobra.
Entonces ¿en qué consiste el gran fallo de los servidores DNS? La cosa es que se ha descubierto que gracias a la ineficiencia de las normas que sigue el servidor DNS (esto se suele llamar protocolo) para obtener las direcciones IP reales de las páginas web que se quieren visitar, es posible engañar al servidor para que crea que una determinada dirección IP falsa pertenezca al nombre de la web que se haya introducido en el navegador. Por ejemplo, supongamos que hay un malote por ahí que ha descubierto como engañar a un servidor DNS determinado y le hace creer que la dirección IP de su ordenador personal corresponde con el nombre de dominio www.mibanco.com. Cuando una persona acceda la página www.mibanco.com a través de ese servidor DNS no se conectará a la página real, si no al ordenador del malote. Así, si el malote a creado una página web en su ordenador igual a la que saldría de conectarse a la verdadera www.mibanco.com sólo tendría que esperar a que un incauto se metiese en su trampa para… ¡BAM! tener sus datos personales.
Ahora que todos ya tenéis miedito en el cuerpo llega la pregunta del millón ¿qué hay que hacer para protegerse de este problema? Pues el usuario que está en su casita tocándose la moral delante del ordenador no tiene que hacer nada porque son los proveedores del acceso a internet (los ISP: Ya.com, Orange, Telefónica y demás) los que tienen que arreglar sus servidores DNS para que no se vean afectados por este problema. O por lo menos esa es la teoría. Desde que se anunció este fallo de seguridad muchos servidores han sido actualizados para que no se vean afectados por este problema, pero hay muchos otros que aún no han movido un dedo. Para saber si tu proveedor de internet a protegido su servidor DNS basta con que visites esta página (Pincha en el botón Check My DNS) y compruebes si tu servidor es seguro. Si todo va bien puedes respirar tranquilo… si no puedes hacer dos cosas: o esperar a que el servidor se proteja o cambiar el servidor DNS al que tu ordenador consulta cuando accede a internet. Personalmente recomiendo la última de las opciones. El servidor que se recomienda para este caso es el OpenDNS, un servidor global que está protegido y que ofrece muchas otras opciones añadidas, aunque para lo que nos interesa funciona bien sin necesidad de tocar nada. En la propia página web explican como cambiar las direcciones DNS del ordenador personal de cada uno, se tenga Windows, Linux o Mac OS X. Yo ya lo he probado tras comprobar que Telefónica se sigue tocando la moral ante este asunto y no he tenido ningún problema. El servidor responde bastante bien.
Ya no tenéis excusa para navegar más seguros.
Vía Enchufa2.
Más información sobre el problema de los DNS: parte I, II y III.
Imagen sacada de Solusan.
muy interesante y útil. Lo acabo de aplicar para mi mac y ya paece que todo está asegurado.
Probé unos meses atrás antes de la discordia del dns poisoning los servidores opendns y no me terminaron de convencer por el tema del buscador integrado cuando no pongo la dirección completa.
A ver si los configuro con el DNS local que tengo y consigo un funcionamiento adecuado.
Por cierto, si queréis saber si vuestro servidor dns (el del proveedor) esta o no infectado, bandaancha a publicado actualizado su herramienta de análisis de dns para saber si tienen o no el fallo, la herramienta la podéis encontrar aqui: http://bandaancha.eu/analizador-dns