El secuestro del servidor de nombres de dominio (DNS), también denominado redirección de DNS, es un tipo de ataque de DNS en el que las consultas de DNS se resuelven incorrectamente para redirigir inesperadamente a los usuarios a sitios maliciosos. Para realizar el ataque, los perpetradores instalan malware en las computadoras de los usuarios, se apoderan de los enrutadores o interceptan o piratean la comunicación DNS.
El secuestro de DNS se puede utilizar para pharming (en este contexto, los atacantes suelen mostrar anuncios no deseados para generar ingresos) o para phishing (mostrar versiones falsas de los sitios a los que acceden los usuarios y robar datos o credenciales).
Muchos proveedores de servicios de Internet (ISP) también utilizan un tipo de secuestro de DNS para hacerse cargo de las solicitudes de DNS de un usuario, recopilar estadísticas y devolver anuncios cuando los usuarios acceden a un dominio desconocido. Algunos gobiernos utilizan el secuestro de DNS para la censura, redirigiendo a los usuarios a sitios autorizados por el gobierno.
Hay cuatro tipos básicos de redirección de DNS:
▸Secuestro de DNS local: Los atacantes instalan malware troyano en la computadora de un usuario y cambian la configuración de DNS local para redirigir al usuario a sitios maliciosos.
▸Secuestro de DNS de enrutadores: Muchos enrutadores tienen contraseñas predeterminadas o vulnerabilidades de firmware. Los atacantes pueden apoderarse de un enrutador y sobrescribir la configuración de DNS, lo que afecta a todos los usuarios conectados a ese enrutador.
▸Ataques de hombre en el medio DNS: Los atacantes interceptan la comunicación entre un usuario y un servidor DNS y proporcionan diferentes direcciones IP de destino que apuntan a sitios maliciosos.
▸Servidor DNS falso: Los atacantes pueden piratear un servidor DNS y cambiar los registros DNS para redirigir las solicitudes de DNS a sitios maliciosos.
