El peor fallo de seguridad de DNS de la historia casi deja sin Internet a todo el planeta

Los servidores DNS son los encargados de convertir las peticiones que hacemos nosotros desde el navegador (por ejemplo, al escribir «www.adslzone.net») a la dirección IP del servidor de manera que podamos establecer la conexión. Hoy en día sería imposible concebir un Internet sin ellos, ya que nadie va a memorizar las IPs de los servidores a los que quiere acceder. Y mucho menos con el auge de la IPv6. Pero una vulnerabilidad casi acaba con toda la red de servidores DNS del planeta, y hubiera acabado con Internet tal y como lo conocemos.

Durante más de dos décadas ha estado presente un fallo de seguridad en el diseño del DNSSEC, las extensiones de seguridad de los DNS. Este fallo de seguridad ha sido denominado como «KeyTrap», y ha sido descubierto por el Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, con la ayuda de otros expertos e investigadores informáticos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Técnica de Darmstadt.

Cómo es KeyTrap y por qué es tan peligroso

El DNSSEC es el encargado de validar las claves de los servidores DNS para garantizar que la IP que resuelven de un dominio corresponde con la IP real que se espera y que esta no ha sido suplantada por piratas informáticos. Para ello se envían todas las claves, incluso si algunas no son correctas, a todos los servidores para garantizar su validación. Aunque no todo el mundo utiliza esta medida de seguridad al hacer sus consultas DNS, se calcula que el 30% de los usuarios de todo el mundo sí la tienen activada.

El fallo KeyTrap descubierto por estos investigadores lo que hace es aumentar dos millones las veces las instrucciones que debe procesar la CPU del servidor antes de resolver y enviar la dirección IP a la persona que la ha pedido. Este aumento puede hacer que una sola solicitud DNS tarde entre 56 segundos y 16 horas en resolverse. Con un solo paquete enviado al servidor DNS. Imaginemos qué ocurriría con millones de solicitudes a la vez mandadas desde una botnet.

Los investigadores han demostrado que este fallo de seguridad afecta a todos los servidores DNS, incluidos los de Google (8.8.8.8), IBM (9.9.9.9) y Cloudflare (1.1.1.1), los más conocidos y utilizados. De haberse llegado a explotar, los servidores DNS hubieran dejado de funcionar, dejando Internet prácticamente inutilizado a nivel mundial. Incluso habría tumbado otras medidas de seguridad en la red, como filtros anti-spam, infraestructuras de clave pública (PKI) e incluso otros sistemas de seguridad como el RPKI.

A pesar de eso, y de haberse considerado «el peor ataque DNS de la historia», tan solo le han dado a este fallo de seguridad una nota de peligrosidad «Alta», con un 3.1 sobre 7.5 puntos. Demasiado poco teniendo en cuenta que el ataque podría haber tumbado Internet durante días a nivel mundial.

Un fallo de DNS solucionado

Por suerte, esta vulnerabilidad cayó en manos de investigadores de seguridad en vez de por piratas informáticos. Y desde finales de 2023 han estado trabajando con las principales compañías de Internet para no solo solucionar la vulnerabilidad, sino también para mitigar posibles vulnerabilidades similares en el futuro.

Akamai, por ejemplo, ha implementado dentro de su red una serie de solucionadores recursivos DNSi, además de otras técnicas, como CacheServe y AnswerX, que se administran desde la nube. De esta forma estarán protegidos frente a ataques DoS similares en un futuro. Google y Cloudflare también han implementado estas medidas de seguridad, seguidos por el resto de los servidores de nombre de dominio.

Ahora, KeyTrap no es más que historia, una anécdota de algo muy grave que podría haber ocurrido si hubiera caído en las manos equivocadas, igual que pasó con Heartbleed o Log4j.

Fuente: adslzone