Soluciones de historial de DNS para mejorar la transparencia y la ciberseguridad de Internet

Usos prácticos

• Descubrimiento de activos DNS

  Mantenga actualizado el inventario de activos descubriendo dominios y subdominios conectados u ocultos utilizados para aplicaciones y servicios web específicos.

• Detección de amenazas

  Identifique patrones de resolución de DNS inusuales que puedan indicar actividad de botnets o infraestructuras comprometidas utilizadas para alojar o distribuir malware.

• Vigilancia de los actores de amenazas

  Manténgase alerta a las resoluciones DNS asociadas con actores de amenazas conocidos y descubra patrones o anomalías que podrían indicar actividad maliciosa.

• Protección de marca

  Supervisar los cambios en los registros DNS para detectar intentos de secuestro de dominios y evaluar cómo los dominios asociados podrían afectar a la reputación de la marca.

• Calificación de riesgos por terceros

  Utilice los datos DNS para rastrear cambios en la configuración de dominios, identificar infraestructuras conectadas y detectar actividades sospechosas vinculadas a proveedores y otros terceros.

• Detección de fraudes

  Detecte comportamientos fraudulentos analizando patrones DNS, cambios en la propiedad de dominios y asociaciones previas con servidores maliciosos.

Preguntas frecuentes

¿Qué son los registros DNS?

Un registro DNS es un registro de datos almacenado en el Sistema de Nombres de Dominio (DNS) que asigna nombres de dominio a recursos específicos, como direcciones IP, servidores de correo u otros servicios. Un servidor DNS resuelve estos registros para dirigir el tráfico de Internet y gestionar los servicios relacionados con el dominio. Los tipos de registros DNS más comunes son:

• Registro A: Asigna un dominio a una dirección IPv4.
• Registro AAAA: Asigna un dominio a una dirección IPv6.
• Registro MX: Especifica los servidores de correo para la entrega de correo electrónico.
• Registro NS: Enumera los servidores de nombres autoritativos de un dominio.
• Registro TXT: Almacena información en formato texto, a menudo utilizada para la verificación de la propiedad del dominio (por ejemplo, configuración de SPF, DKIM o DMARC) u otros metadatos. Por ejemplo, la verificación de la propiedad de un sitio web para utilizar Google Search Console requiere añadir un determinado registro TXT a la lista de registros de host de un nombre de dominio.
• Registro CNAME: Asigna un alias o subdominio a otro nombre de dominio. Por ejemplo, puede redirigir blog.example.com a www.example.com.
• Registro SOA (Start of Authority): Contiene información administrativa sobre el dominio, como el servidor de nombres principal, el correo electrónico de contacto del administrador del dominio y el número de versión de la zona DNS.
• Registro PTR (Pointer): Resuelve una dirección IP a un nombre de dominio, comúnmente utilizado en búsquedas DNS inversas.

Para obtener información sobre los registros DNS actuales de un dominio, puede utilizar nuestra herramienta DNS lookup o DNS lookup API.

¿Cuál es el historial DNS de un nombre de dominio?

El historial DNS de un nombre de dominio es una lista de configuraciones DNS anteriores, incluidos los cambios de direcciones IP, servidores de nombres, servidores de correo y otros registros DNS a lo largo del tiempo. Proporciona información sobre cómo ha evolucionado la infraestructura de un dominio y puede revelar cambios de titularidad, migraciones o posibles usos indebidos.

A diferencia de una parte considerable de los datos WHOIS, los datos DNS no se redactan para proteger la privacidad, por lo que los registros DNS históricos pueden ser muy útiles para fines de ciberseguridad.

El Sistema de Nombres de Dominio no se diseñó para hacer un seguimiento de los registros históricos, pero como tienen mucho valor, es natural que los proveedores independientes hayan empezado a crear y mantener bases de datos de historiales de DNS.

¿Qué datos puede obtener del historial DNS?

El historial DNS del dominio suele incluir detalles como:

• Registros A históricos: Cambios en las asignaciones de direcciones IPv4.
• Registros AAAA históricos: Cambios en las asignaciones de direcciones IPv6.
• Registros MX históricos: Cambios en la configuración del servidor de correo.
• Registros NS históricos: Actualizaciones de servidores de nombres autoritativos.
• Registros históricos TXT: Información pasada en formato de texto, a menudo relacionada con la verificación o la seguridad.
• Registros CNAME históricos: Cambios de alias o redirecciones para subdominios.
• Registros SOA históricos: Actualizaciones de detalles administrativos, como el servidor de nombres primario o la versión de zona.
• Registros PTR históricos: Asignaciones históricas de direcciones IP a nombres de dominio, utilizadas en búsquedas DNS inversas.
• Cambios y actualizaciones con fecha y hora: Una línea de tiempo que muestra cuándo se añadió, eliminó o actualizó cada registro.

Esta información proporciona una cronología detallada de la actividad DNS de un dominio y ayuda a descubrir patrones, cambios en la infraestructura, posibles vínculos con actores maliciosos, etc.

Este es un ejemplo de uso de nuestra herramienta DNS lookup para example.com que extrae información histórica de IP a dominio o de dominio a IP:

¿Para qué puedo utilizar los datos históricos DNS?

Los datos históricos DNS tienen una amplia gama de aplicaciones prácticas en ciberseguridad, inteligencia de amenazas y gestión de activos. Puede utilizarlos para:

• Añada contexto DNS a las plataformas SIEM, SOAR y TIP: Enriquezca los sistemas de seguridad con inteligencia DNS para una mejor toma de decisiones.
• Acelerar la detección y respuesta a las amenazas: Identifique cambios o patrones de DNS inusuales asociados a actividades maliciosas.
• Amplíe el descubrimiento de activos y la gestión de vulnerabilidades: Localice dominios no gestionados u olvidados, subdominios y activos relacionados asociados a través de registros DNS.
• Identificar registros DNS colgantes y subdominios no seguros: Detecte configuraciones erróneas que podrían dar lugar a la exposición o explotación de datos.
• Ampliar la recopilación de información sobre amenazas: Analice los registros DNS históricos para descubrir vínculos entre dominios e infraestructuras de actores de amenazas ya conocidos.
• Supervise los cambios en la infraestructura DNS de dominios sospechosos o maliciosos: Información constante sobre las actualizaciones que podrían señalar nuevas amenazas.
• Ejecutar análisis de descubrimiento de servicios SaaS: Identifique servicios y plataformas vinculados a un dominio utilizando pistas de registros DNS y subdominios.

Estas capacidades hacen que la información histórica de DNS sea un recurso muy útil para mejorar la postura de seguridad y obtener una visión más profunda de la actividad de los dominios y los riesgos asociados.

¿Cómo comprobar el historial DNS?

Para comprobar el historial DNS:

• Utilice una herramienta de búsqueda histórica de DNS como nuestra DNS Chronicle Lookup.
• Introduzca el nombre de dominio que desea investigar.
• Revise los datos históricos de los registros DNS, incluidos los cambios y actualizaciones a lo largo del tiempo.

Como alternativa, puede consultar el servicio  DNS Database Download de WhoisXMLAPI o utilizar la DNS Chronicle API. Estos modelos de entrega de datos proporcionan registros DNS detallados y con fecha y hora, y podrían resultarle útiles cuando necesite automatizar solicitudes de registros DNS históricos.

¿Cómo utilizar el historial DNS para la detección de amenazas de seguridad?

El historial DNS puede ayudar a identificar actividades o patrones sospechosos, como:

• Cambios repentinos en los servidores de nombres o direcciones IP que podrían indicar la reutilización de un dominio para una campaña de phishing o malware.
• Cambios rápidos en los registros DNS A o AAAA, una técnica denominada fast-flux que ayuda a eludir los métodos de detección tradicionales y que suele ser un indicador de actividad maliciosa.
• Dominios con registros que apuntan a infraestructuras maliciosas conocidas (en función de los IoC proporcionados por la inteligencia sobre amenazas).

Analizando el historial DNS, los equipos de seguridad pueden detectar y responder a posibles amenazas de forma proactiva.

¿Cómo utilizar el historial DNS para vigilar a los actores de amenazas?

El historial DNS puede revelar conexiones entre dominios y actores de amenazas mediante:

• Rastreo del uso repetido de direcciones IP o servidores de nombres específicos y otros patrones en los cambios de registros DNS vinculados a atacantes conocidos.
• Revelar infraestructuras adicionales de los actores de amenazas a través de patrones DNS, así como conocer nuevos detalles sobre sus métodos y actividades.
• Supervisar la migración de la infraestructura de los actores de amenazas e identificar de forma proactiva la infraestructura que aún no se ha utilizado.

Esto ayuda a los proveedores de ciberseguridad a vigilar la evolución de las tácticas y la infraestructura de los actores de amenazas.

¿Cómo utilizar el historial DNS para detectar fraudes?

El historial DNS ayuda a la detección de fraudes al descubrir:

• Registre los cambios que coincidan con actividades de phishing o estafa, como el cambio rápido de direcciones IP (registros A y AAAA) o servidores de nombres.
• Uso de registros DNS desechables o sospechosos con valores TTL bajos o falta de registros MX legítimos que normalmente deberían estar presentes.
• Datos históricos que vinculan los dominios fraudulentos a redes maliciosas conocidas, como servidores de nombres comunes, direcciones IP y registradores.

Esta información ayuda a los investigadores a rastrear y mitigar los planes fraudulentos.

¿Cómo utilizar el historial DNS para descubrir activos?

El historial DNS proporciona una visión completa de la actividad del dominio, que puede:

• Identifique los dominios o subdominios vinculados a su organización que podrían plantear riesgos si no se supervisan o si son utilizados de forma malintencionada por terceros tras su caducidad o transferencia.
• Destaque los activos digitales olvidados o no supervisados, como subdominios antiguos o dominios de apoyo que aún podrían ser de acceso público y servir como puntos de entrada para los atacantes si no se protegen adecuadamente.
• Descubra problemas de DNS como registros DNS mal configurados que podrían exponer datos confidenciales como servicios internos, direcciones IP confidenciales o recursos en la nube.

Al aprovechar el historial DNS, las organizaciones pueden mejorar la visibilidad y la seguridad de sus activos digitales.

¿Cómo utilizar el historial DNS para proteger la marca?

DNS History apoya la protección de la marca permitiéndole detectar:

• Dominios de ciberocupación que suplantan la identidad de su marca y que presentan cambios sospechosos de IP o un uso repetido de servidores de nombres vinculados a campañas de phishing. Estos cambios pueden indicar intenciones maliciosas por parte de los propietarios del dominio.
• Tráfico potencialmente malicioso que podría indicar intentos de desfiguración del sitio web. Los cortafuegos de aplicaciones web (WAF) pueden bloquear este tipo de tráfico desde direcciones IP maliciosas conocidas que solicitan acceso a su sitio web.
• Subdominios sospechosos vinculados a su propia infraestructura que pueden ser señal de apropiación de subdominios.

Recomendamos utilizar el historial DNS junto con fuentes de inteligencia predictiva de amenazas para obtener mejores resultados y correlación cuando se trata de esfuerzos de protección de marca. Lea nuestra entrada de blog para obtener más información sobre el uso del historial DNS para la prevención de ataques a marcas.