Descubren manipulación de servidores DNS en campaña de ayuda humanitaria en Venezuela

Por en Ciberseguridad

Una investigación hecha por la firma Kaspersky Lab, reveló que un sitio web espejo del sitio original de la campaña recopila la información de los voluntarios inscritos. Según la empresa de ciberseguridad, este sería un caso de phishing.

Investigadores de Kaspersky Lab emitieron un alerta hoy al descubrir la manipulación de los servidores DNS (sistema de nombres de dominio, por sus siglas en inglés) relacionados al movimiento llamado "Voluntarios por Venezuela". La iniciativa, la cual ya cuenta con miles de personas registradas según los medios de comunicación,  es el resultado del llamado público que Juan Guaidó hizo el 10 de febrero pidiendo voluntarios para asistir con la ayuda humanitaria a ese país. 

¿Cómo funciona? Los voluntarios se registran en un sitio web y luego reciben instrucciones sobre cómo ayudar. El sitio web original solicita a los voluntarios que proporcionen su nombre completo, identificación personal, número de teléfono celular, y si cuentan con un título médico, un automóvil o un teléfono inteligente. También se les solicita la ubicación del lugar donde viven.

Este sitio web apareció en línea el 6 de febrero. Solo unos días después, el 11 de febrero, el día después del anuncio público de la iniciativa, apareció otro sitio web casi idéntico con un nombre y estructura de dominio muy similar.

De hecho, el sitio web falso es el reflejo del sitio web original, voluntariosxvenezuela.com. Tanto el sitio web original como el falso usan SSL de Let's Encrypt. Las diferencias son las siguientes:

Ahora, la parte más aterradora es que estos dos dominios diferentes, con propietarios diferentes, dirigen el tráfico dentro de Venezuela a la misma dirección IP, que pertenece al propietario del dominio falso:

Eso significa que no importa si un voluntario abre la página del dominio legítimo o el falso, de igual manera introducirá su información personal en un sitio web falso.Ambos dominios, si se resuelven fuera de Venezuela, presentan resultados diferentes:

En términos simples, el protocolo DNS convierte los nombres de dominios en direcciones IP y es así como los usuarios de Internet pueden llegar a abrir diferentes páginas. Lo que sucede cuando escribimos en el navegador el nombre de un sitio web, es que el programa envía una solicitud a un servidor de DNS con la pregunta de si conoce alguna página con este nombre.

De acuerdo a lo anterior, el Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, Dmitry Bestuzhev explica: "El que tenga el control sobre los servidores de DNS, realmente llega a tener poderes que le otorgan la capacidad de desviar las solicitudes hacia otras direcciones IP que pueden ser falsas, ya que son otros servidores que no tienen nada que ver con las páginas originales que los usuarios buscan por su nombre de dominio. De modo que la víctima escribe el nombre de dominio de la página que busca abrir pero termina en otro servidor controlado por una o más personas con malas intenciones".

Esta técnica de manipulación maliciosa de los DNS también se llama DNS-Hijacking. "Lo que ha sucedido en Venezuela es que alguien ha redactado la tabla de los registros de DNS, desviando a los usuarios que iban a abrir la página oficial de los “Voluntarios por Venezuela” a otra página – una copia de la página original pero maliciosa que recopilaba los datos personales de las personas que querían enlistarse para ser parte de la iniciativa", apunta el directivo.

En definitiva, Kaspersky Lab terminó por catalogar el dominio falso como phishing. En este escenario, donde se manipulan los servidores DNS, Kaspersky Lab recomienda encarecidamente utilizar servidores DNS públicos como los servidores DNS de Google (8.8.8.8 y 8.8.4.4) o los servidores DNS de CloudFlare y APNIC (1.1.1.1 y 1.0.0.1).

También se recomienda utilizar conexiones VPN sin un DNS de terceros.

Comentarios