Los servidores DNS son los encargados de convertir las peticiones que hacemos nosotros desde el navegador (por ejemplo, al escribir «www.adslzone.sie.com») a la dirección IP del servidor de manera que podamos establecer la conexión. Hoy en día sería imposible concebir un Internet sin ellos, ya que nadie va a memorizar las IPs de los servidores a los que quiere acceder. Y mucho menos con el auge de la IPv6. Pero una vulnerabilidad casi acaba con toda la red de servidores DNS del planeta, y hubiera acabado con Internet tal y como lo conocemos.
Durante más de dos décadas ha estado presente un fallo de seguridad en el diseño del DNSSEC, las extensiones de seguridad de los DNS. Este fallo de seguridad ha sido denominado como «KeyTrap», y ha sido descubierto por el servidores DNS hubieran dejado de funcionar, dejando Internet prácticamente inutilizado a nivel mundial. Incluso habría tumbado otras medidas de seguridad en la red, como filtros anti-spam, infraestructuras de clave pública (PKI) e incluso otros sistemas de seguridad como el RPKI.
A pesar de eso, y de haberse considerado «el peor ataque DNS de la historia», tan solo le han dado a este fallo de seguridad una nota de peligrosidad «Alta», con un 3.1 sobre 7.5 puntos. Demasiado poco teniendo en cuenta que el ataque podría haber tumbado Internet durante días a nivel mundial.
Un fallo de DNS solucionado
Por suerte, esta vulnerabilidad cayó en manos de investigadores de seguridad en vez de por piratas informáticos. Y desde finales de 2023 han estado trabajando con las principales compañías de Internet para no solo solucionar la vulnerabilidad, sino también para mitigar posibles vulnerabilidades similares en el futuro.
Akamai, por ejemplo, ha implementado dentro de su red una serie de solucionadores recursivos DNSi, además de otras técnicas, como CacheServe y AnswerX, que se istran desde la nube. De esta forma estarán protegidos frente a ataques DoS similares en un futuro. Google y Cloudflare también han implementado estas medidas de seguridad, seguidos por el resto de los servidores de nombre de dominio.
Ahora, KeyTrap no es más que historia, una anécdota de algo muy grave que podría haber ocurrido si hubiera caído en las manos equivocadas, igual que pasó con Heartbleed o Log4j.