La reciente información de la NBC News sobre que un alto responsable del departamento de IT “explotó" su acceso a datos informáticos en la Casa Blanca para buscar "información comprometida" sobre Donald Trump ha puesto una vez más de manifiesto que los gobiernos han de extremar sus precauciones para implantar los controles de seguridad adecuados a la seguridad de los DNS, así como garantizar que los empleados entiendan que cuando se abusa del acceso, no podrán ocultar sus huellas.
John Durham, designado por el entonces fiscal general William Barr en 2020 para investigar los orígenes de la investigación del FBI sobre la interferencia electoral rusa, ha declarado que dicho empleado usó su acceso a los datos del sistema de nombres de dominio, o DNS, para recopilar información sobre los ordenadores y servidores con los que se comunicaban los servidores de la Casa Blanca en la Administración Trump. En el expediente judicial Trump y sus aliados alegaron que la divulgación era prueba de que Trump estaba bajo vigilancia mientras estuvo en el cargo.
Según los expertos en seguridad cibernética consultados lo que parecía haber estado haciendo el informático de la Casa Blanca era una búsqueda de nombres de dominio y direcciones a los que un ordenador había intentado conectarse. Este tipo de abuso extremo del acceso autorizado visibiliza el problema latente de los riesgos internos que se suma a las ofensivas virtuales que han colapsado las webs de varios ministerios y los servicios de los principales bancos ucranianos.
Los expertos consideran que una forma de reducir los riesgos internos radica en asegurarse de que los empleados sean plenamente conscientes de que existen auditorías sobre los accesos privilegiados que actúen como elemento disuasorio a la hora de intentar arriesgar sus carreras.
Otra opción sería proteger la importancia crítica del acceso privilegiado a ciertos datos, como los registros DNS, auditando cualquier acceso para mantener el no repudio. No obstante, resulta algo irónico, ya que la administración sabe muy bien que los metadatos son extremadamente poderosos: tener un mapa de los servidores de Internet y los sitios web a los que se accede puede revelar información confidencial sobre lo que podría debatirse, lo que se está planificando y las principales prioridades del gobierno, incluso sin conocer el contenido de la comunicación en sí.
Desde su diseño, el DNS es un servicio abierto y una mina de oro de información sobre las redes o aplicaciones que se quieran atacar. Por tanto, se está convirtiendo en un objetivo prioritario como lo ha demostrado un estudio de la consultora IDC al desvelar que en 2021 el 87% de las organizaciones experimentó uno o más ataques de DNS y más del 26% sufrió el robo de información confidencial.
El descubrimiento por parte de la fiscalía de EE.UU. de este incidente podría derivar en más ataques al DNS de la Casa Blanca, ya que si los ciberdelincuentes averiguan que un aspecto de la red es vulnerable, lo más probable es que lo ataquen. Diversos informes alertan que más del 90% del malware utiliza servicios DNS para desarrollar sus ataques. Las organizaciones deben ser realistas y pragmáticas si quieren proteger adecuadamente a los usuarios, los datos y las aplicaciones. La seguridad del DNS resulta hoy día imprescindible en cualquier arsenal moderno de defensa contra las amenazas de ciberseguridad.
Otras soluciones estándar como los firewalls de próxima generación han demostrado no ser suficientes en este ámbito. Los sistemas de protección deben habilitar el control de acceso a las aplicaciones a nivel de usuario para reducir la superficie de ataque y bloquear el movimiento lateral del malware. La analítica en tiempo real del tráfico DNS es otro aspecto fundamental para superar la limitación de los sistemas basados en firmas y ofrecer detección de amenazas conductuales. Medidas como Zero Trust, inteligencia de amenazas, análisis de comportamiento vinculado a la inteligencia de tráfico DNS se popularizarán este año para hacer frente a la exfiltración de datos que es la amenaza más seria a la que se están enfrentando empresas y administración.
Diego Solís es Regional Manager Iberia & LATAM de EfficientIP