Què és el DNS Spoofing i com prevenir els atacs d'enverinament DNS
6 d’agost de 2025 | Jordi Genescà Prat
La resolució DNS és un dels pilars més crítics i vulnerables del funcionament d'Internet. Qualsevol fallada o manipulació en aquest sistema pot afectar directament la disponibilitat, la integritat i la seguretat dels serveis web d'una organització.
Entre els atacs més comuns i perillosos hi ha el DNS Spoofing i el DNS Poisoning. Tots dos intenten manipular les respostes del sistema de noms de domini per redirigir l'usuari a llocs falsos o interceptar el seu trànsit, amb finalitats com el robatori de credencials o la distribució de programari maliciós.
En aquest article expliquem com funcionen aquests atacs, quines conseqüències poden tenir per a empreses i usuaris, i quines solucions existeixen per prevenir-los de manera efectiva.
Què és el DNS Spoofing?
El DNS Spoofing (o falsificació DNS) consisteix a interceptar o manipular respostes DNS de manera que l'usuari accedeixi a una adreça IP diferent de la legítima, sense adonar-se'n. Per exemple, una víctima pot escriure www.empresa.com al navegador, però ser redirigida a un lloc fraudulent idèntic visualment, controlat per l'atacant.
Aquest atac aprofita vulnerabilitats del protocol DNS, com la manca de xifrat, la possibilitat de respostes no autenticades o l'ús d'identificadors previsibles. Tot i que el sistema va ser dissenyat per ser ràpid i lleuger, no comptava amb una arquitectura de seguretat robusta. Per tant, si un servidor DNS accepta respostes sense validació criptogràfica, un atacant pot injectar dades falses amb facilitat.
Aquestes vulnerabilitats s'agreugen amb configuracions inadequades, programari obsolet o xarxes públiques no protegides.
Què és el DNS Poisoning?
El DNS Poisoning o enverinament de la memòria cau DNS és una variant més persistent del spoofing. En aquest cas, l'atacant introdueix registres falsos a la memòria cau d'un servidor DNS legítim. Això fa que qualsevol usuari que consulti aquest domini a través del servidor rebi una adreça falsa, fins i tot dies després de l'atac.
Aquest tipus d'enverinament pot afectar molts usuaris i tenir un impacte directe en la credibilitat, el trànsit i la seguretat d'una marca. A més, pot formar part d'un atac més ampli com phishing, suplantació d'identitat o instal·lació de malware.
Riscos per a les empreses
- Pèrdua de confiança dels usuaris:
si accedeixen a llocs falsos que imiten la imatge de la marca. - Robatori de credencials i dades confidencials:
especialment si introdueixen informació en formularis o sistemes corporatius. - Impacte en el posicionament SEO:
per accessos erronis, penalitzacions o pèrdua de reputació del domini principal. - Frau amb la imatge de marca:
utilitzada per enganyar clients, proveïdors o empleats. - Compromís de serveis interns:
en empreses que depenen del DNS per accedir a sistemes interns.
Com prevenir aquests atacs
1. Implementació de DNSSEC
DNSSEC (Domain Name System Security Extensions) és una extensió del protocol DNS que permet validar l'autenticitat de les respostes DNS mitjançant signatures criptogràfiques. Amb DNSSEC activat, un atacant no pot modificar respostes sense que el sistema les detecti com a invàlides.
2. ÚS de resolvers segurs i monitoratge constant
Fer servir resolvers DNS de confiança, mantenir-los actualitzats i monitoritzar el seu comportament és clau per detectar intents d'enverinament.
A més, establir alertes primerenques permet actuar ràpidament davant anomalies.
3. Reforç mitjançant xarxes Anycast
Les arquitectures DNS amb Anycast, com DNS Anycast Plus, distribueixen les consultes entre diversos servidors globals, reduint el risc d'atacs de tipus man-in-the-middle o spoofing.
La redundància i la supervisió de nodes repartits milloren la resiliència del sistema DNS.
4. Política de TTL i validació de registres
Limitar el temps de vida (TTL) dels registres DNS redueix la finestra d'exposició. Revisar i validar els registres periòdicament ajuda a detectar incoherències.
Recomanacions per a empreses
Totes les empreses amb presència online haurien d'avaluar la seva exposició a atacs DNS.
- Empreses amb alt volum de trànsit web:
botigues online, portals de contingut, plataformes SaaS. - Entitats que gestionen dades sensibles:
despatxos legals, clíniques, asseguradores, institucions educatives. - Organitzacions amb serveis interns accessibles:
equips distribuïts, seus internacionals, entorns híbrids. - Empreses amb gran reconeixement de marca:
susceptibles de ser utilitzades en suplantacions o phishing.
Una eina invisible amb un paper crític
El sistema DNS és invisible per a la majoria, però fonamental. Atacs com DNS Spoofing o DNS Poisoning poden comprometre serveis i la reputació d'una empresa.
Actuar de manera preventiva és clau. La seguretat DNS no pot esperar a una crisi.
