Hace algunos días que prácticamente todos los medios de comunicación publicaban que las compañías proveedoras de internet se habían movilizado para parchear un fallo de internet, más exactamente la existencia de un agujero de seguridad en el protocolo DNS. La noticia fue tratada con más o menos torpeza según que medio, pero lo que quedaba claro es que era algo bastante grave. Afortunadamente, las compañías estaban trabajando en resolver el problema y la explicación técnica no se haría pública hasta el momento en que el sistema de DNS estuviera bien protegido. Al menos, ese era el plan.

Hoy mismo se ha filtrado la explicación técnica, que en el fondo no es más que la combinación de dos técnicas antiguas y bien conocidas, contra las que ya estaba preparado el protocolo DNS, y que finalmente logra envenenar los servidores de nombres. Y parece que la explicación es buena, porque el propio descubridor del asunto, Dan Kaminsky, comenta en Twitter que el fallo de DNS es público y que hay que parchear ya.

El problema es que si tu servidor DNS es envenenado (y parece que ni es demasiado difícil, ni demasiado costoso en tiempo), cuando vayas a entrar en la página del banco, tu servidor DNS te va a dar la dirección de un ordenador en China que se va a hacer con tu usuario y tu clave. Y eso desde un ordenador limpio de troyanos, virus y demás, porque tiene que quedar muy claro que el equipo que tiene el problema no es el tuyo, sino el de la compañía cuyos DNS uses y que suele ser tu propia operadora, si usas DHCP. Por eso…

¿Qué es lo que podemos hacer?

• Ir a la página del descubridor del agujero de seguridad y probar tus servidores de DNS, usando la aplicación de la página (a la derecha Check my DNS). Al parecer, la mayoría de los proveedores españoles no han parcheado sus sistemas, por lo que es probable que tu servidor sea vulnerable (si te sale appears vulnerable to DNS Cache Poisoning).
• Si el servidor es vulnerable, cambiar las direcciones de los DNS (google) por unas que no lo sean. Parece que muchos han optado por OpenDNS hasta que pase la tormenta (208.67.222.222 y 208.67.220.220). Comprobar de nuevo y verificar que los DNS que usamos son válidos.

Esperemos que los proveedores de internet se pongan las pilas y no tengamos que esperar demasiado tiempo para tener los servidores de nombres protegidos, aunque conociendo como funciona España en verano, no se yo…