Secuestro de DNS

Hace unos días dejó de funcionar mi router de Speedy, así que en lugar de llamar y esperar que me traigan otro, puse uno que tenía guardado por ahi. Nada raro hasta ahi. Pero ayer comencé a notar un comportamiento raro en la navegación, algunas publicidades que aparecían y que no debían estar.

Lo primero que pensé fue “spyware”, y en mi maquina!, así que le pasé toda la batería de herramientas que normalmente uso… sin ningún éxito. Mi computadora estaba limpia, pero seguian apareciendo publicidades. Incluso aparecian en páginas que desarrollé yo mismo, así que estaba SEGURO que no era de la página.

Investigando un poco, vi que donde debía haber publicidades de Google Adsense, aparecían publicidades de páginas porno. No “además de” Adsense, sino “en lugar de”. Eso era raro. Encima, no era solo mi PC, sino también las otras dos computadoras, la netbook y el celular!

La única forma era que no fuese una infección común, sino una intercepción de datos. Alguien estaba metido en el medio entre mi computadora y la página destino, alterando algunas de las cosas que llegaban. Costó un rato, pero di con un raro caso, llamado DNS Hijack (secuestro de DNS).

DNS hijackComo funciona:

Los DNS (Domain Name System) son servidores necesarios para nuestra forma de navegar. Son los encargados de convertir las direcciones que escribimos (www.google.com) en un número de ip digerible para el sistema (173.194.42.17). Si hacen la prueba, van a ver que ese número los lleva a Google.

Entonces, estos exploit lo que hacen es infectar el router, cambiando los DNS por unos propios. Así, toda comunicación que se hace pasa por ellos, que pueden hacer lo que quieran, y devolver otra info a la computadora.

En este caso, cuando veían una petición de publicidad de Adsense, la cambiaban por una porno propia. Y además, ejecutaban un javascript que mostraba publicidad extra. Otros exploits también esperan que uno ingrese a un banco, para tomar así fácilmente la información de claves que tipeamos.

[box type=”info”] Descubrirlo es más fácil que solucionarlo, porque estos abusos dependen de vulnerabilidades del router, así que o actualizamos el firmare, o como en mi caso que no había actualización, dejamos de usarlo y ponemos otro más moderno.[/box]

Como todo el tránsito de mi casa pasa por el router, todos los artefactos conectados al WiFi estaban igualmente comprometidos. Conseguí un nuevo router ADSL, y todo se solucionó al instante.

Lo que me pareció interesante es que es un tipo de ataque que no infecta la computadora, sino un artefacto que normalmente damos por descontado que es seguro, haciéndonos perder muchísimo tiempo tratando de identificar el problema donde no está.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *