Todo centro de datos debe contar con una capital humano capaz de contrarrestar los ataques cibernéticos. Uno de ellos es la agresión a los servidores DNS (Domain Name System), equipos de cómputo que están programados para traducir los nombres de dominio en direcciones de protocolo de internet (IP) para poder navegar en sitios, páginas o portales web.
En este importante tema, Jaime Olmos de la Cruz, responsable del Centro de Operaciones del Red (NOC) y del Centro Operación de la Ciberseguridad (SOC), de la Universidad de Guadalajara (UdeG), explica: “La ciberseguridad es fundamental porque además del ataque DNS los centros de datos enfrentan diversas amenazas, por ejemplo, ataques de denegación de servicio (DDoS) dirigidos a infraestructura crítica, las intrusiones por vulnerabilidad en los sistemas, así como el phishing y malware que buscan comprometer credenciales de acceso y sistemas internos. Además, los ataques de envenenamiento de caché DNS y secuestro de dominios, situaciones que redirigen el tráfico de red a sitios maliciosos”.
Ante estas situaciones, Olmos de la Cruz reitera: “El ataque DNS es peligroso porque usa servidores legítimos como ‘cómplices’ sin que lo sepan y, para evitarlo, los administradores de redes deben configurar correctamente sus equipos, evitando que respondan a cualquiera que no esté autorizado”.
El monitoreo y detección de intentos de ataque DNS es primordial, dice Jaime Olmos: “Se emplean diversas herramientas y estrategias como las Plataformas SIEM (Security Information and Event Management) que recopilan, correlacionan y analizan registros de eventos en tiempo real; el XDR (Extended Detection and Response) que proporciona una visión más completa de posibles amenazas y, además, por medio de análisis de patrones con inteligencia artificial”.
Al igual que la prevención, el hecho de mitigar un ataque DNS es importante y existen medidas para ello, explica Olmos de la Cruz.
“Se aplican diversas estrategias, por ejemplo, deshabilitar recursión en servidores DNS públicos y restringir consultas solo a clientes autorizados, realizar filtrado de tráfico en firewalls y routers, restringiendo respuestas volumétricas no solicitadas; el uso de Anycast DNS, que distribuye la carga y dificulta ataques DDoS dirigidos a una sola infraestructura, así como la implementación de DNSSEC para garantizar la integridad de las respuestas DNS y evitar envenenamiento de caché”.
En cuanto a la UdeG, aunado a las prácticas mencionadas, explica que «también contamos con sistemas de monitoreo en tiempo real como las Plataformas XDR, EDR que recopilan y correlacionan eventos de seguridad y Sensores IDS/IPS que detectan tráfico anómalo o patrones de ataque. También Dashboards de monitoreo de tráfico DNS, que muestran consultas sospechosas o volumétricas, además los DNS Firewall de fabricantes especializados, que filtran tráfico malicioso en tiempo real, bloquean dominios sospechosos y previenen ataques de tunneling DNS. Importante señalar que se cuenta con personal especializado que discrimina los falsos positivos para realizar un forense informático”.
Y al respecto añade: «El personal especializado recibe capacitación interna y externa de CSIRTs nacionales e internacionales, por ejemplo, del Registro de Direcciones de Internet para América Latina (LACNIC) y de la Corporación Universitaria para el Desarrollo de Internet (CUDI). Además, se realizan simulaciones para reforzar la preparación del personal a través de Cyber Range (entorno virtual que simula ciberataques del mundo real).”
Finalmente, la capacitación y entrenamiento son vitales para detener y contrarrestar los ataques DNS, entre otros problemas. Para lograrlo, Olmos de la Cruz reitera: “En esta Casa de estudio están en proceso estrategias como el fortalecimiento de la infraestructura DNS con soluciones Anycast y DNSSEC, la implementación de inteligencia artificial para la detección de anomalías en tráfico, además la expansión de políticas Zero Trust, asegurando que cada solicitud y acceso sea verificado antes de ser permitido, así como la ampliación del aprendizaje en ciberseguridad inclusive con simulaciones avanzadas de estos ataques”
