Uno de los mecanismos fundamentales para el funcionamiento de Internet es el servicio de resolución de nombres o DNS (Domain Name System). Su función principal es la de “traducir” nombres de recursos (ej: páginas web) en direcciones IP que permitan localizar ese recurso en Internet.

De este modo, cuando se introduce el nombre de una página web en el navegador (ej: www.google.es), internamente se realiza una petición a un servidor DNS, que devuelve la IP correspondiente (ej: 209.85.229.104), permitiendo su localización en Internet. Pero, ¿qué ocurriría si la respuesta del servidor DNS fuera incorrecta? ¿Y si, además, fuera maliciosa?

En la actualidad, y bajo determinadas circunstancias, es posible “engañar” a un servidor DNS, consiguiendo que devuelva una IP incorrecta elegida por el atacante. Esto se conoce como “envenenamiento de la caché DNS”. Una vez logrado el engaño, existen múltiples posibilidades de ataque y/o infección contra la víctima.

Una de estas posibilidades es la de manipular al proceso de actualización automática de una aplicación. Cuando una aplicación legítima inicia su proceso de actualización en línea, se conecta a un servidor remoto para descargar los archivos necesarios. Si un atacante consigue intervenir en este proceso, redirigirá la conexión hacia un servidor malicioso, pudiendo descargar en la aplicación legítima archivos potencialmente peligrosos (virus, troyanos, etc).

Cabe subrayar el riesgo asociado a este tipo de ataque ya que hace posible la descarga de contenido malicioso de modo completamente automático, sin intervención del usuario y a través de aplicaciones completamente legítimas.

Una de las herramientas maliciosas más recientes que hacen uso de esta técnica es el kit Evilgrade de Infobyte Security Research. Mediante este kit, es posible desarrollar un ataque contra el proceso de actualización automática en línea de algunas aplicaciones muy populares, como Java, WinZip, Winamp o iTunes.

Como mecanismo de protección, deben observarse las recomendaciones habituales sobre la necesidad de disponer de un software antivirus actualizado y ejecutándose en tiempo real. De este modo, intentos de descarga y/o ejecución de software malicioso podrán ser detectados y abortados, previniendo la infección del equipo.