Gracias a los DNS, los navegadores pueden traducir las direcciones que les introducimos y transformarlas a las direcciones IP a las que pertenecen. Entre las más utilizadas encontramos las de Google, aunque muchos usuarios optan por dejar las de los operadores o usar alternativas como las de Cloudflare o IBM. Ahora, un grupo de hackers ha estado cambiando las DNS de más de 100.000 usuarios para redireccionarles a webs maliciosas mediante un ataque llamado GhostDNS.
GhostDNS: un ataque que afecta a más de 100.000 routers en todo el mundo para robar tus datos y cuentas
Así lo ha publicado en un informe la empresa Netlab, que ha detallado que hay más de 100.000 routers afectados (un 87,8% en Brasil), habiendo más de 70 routers o versiones de firmware afectados. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix. Este ataque estaba compuesto de cuatro módulos diferentes: DNSChanger, Web Amin, Phishing Web y Rogue DNS.
DNSChanger, el primero de ellos, es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas. En total, es capaz de ejecutar más de 100 ataques a más de 70 routers. Uno de ellos realizaba 69 ataques a 47 routers o firmwares distintos, habiendo conseguido infectar 62.000 routers.
El segundo, llamado Web Admin, contiene la página de login del Web Admin System. El tercero, el Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador. El cuarto y último, Phishing Web, se complementa con el tercero, y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar.
Revisa que tienes la última versión del firmare instalada, y que los DNS de tu router son los correctos
A pesar de que el ataque ha tenido lugar en Brasil entre el 21 y el 27 de septiembre, desde Netlab afirman que representa un grave peligro en todo el mundo. Es muy fácil de escalar, utiliza diversos vectores de ataque, y puede usarse de manera automatizada. Por ello, los hackers podrían estar trabajando para suplantar páginas web de otros países.
Para protegernos de este ataque podemos realizar diversos cambios. El primero y más importante es asegurarnos de que nuestro router tiene la última versión del firmware instalada. En el caso de que tengas un router de fibra óptica ofrecido por tu operador, son ellos quienes se encargan de asegurarse de que los routers de sus clientes tengan la última versión disponible de manera remota sin que el usuario haga nada. Sin embargo, algunas otras marcas requieren que el firmware se actualice a mano.
También es conveniente revisar que las DNS que tenemos puestas en nuestro router sean las que nosotros queremos.