AWS y Google fallan en seguridad DNS: 2 gigantes sin DNSSEC

Amazon y Google, dueños de la infraestructura web global, no protegen sus dominios principales con DNSSEC. ¿Qué implica para tu seguridad?

Seguridad Digital Minimalismo Digital Tecnologia

AWS y Google fallan en seguridad DNS: 2 gigantes sin DNSSEC

Los dominios aws.com y google.com no tienen habilitado DNSSEC, según una verificación reciente. Esto significa que cualquiera podría redirigir el tráfico de estos sitios sin que el usuario lo note.

Por qué importa

DNSSEC es el protocolo que firma digitalmente las respuestas DNS, evitando que un atacante las falsifique. Sin él, un hacker podría interceptar peticiones a aws.com o google.com y enviar a los usuarios a una copia maliciosa, robando credenciales o inyectando malware.

Que los dos gigantes que alojan buena parte de internet descuiden esta protección básica es preocupante. Si ellos no lo hacen, ¿qué esperar del resto?

Qué dice el contexto

La verificación se realizó mediante el comando delv y consultas a resolvedores públicos como Cloudflare (1.1.1.1) y Google (8.8.8.8).
Los dominios aws.com y google.com devuelven status: NXDOMAIN para registros DNSKEY, indicando que no hay claves DNSSEC configuradas.
En cambio, dominios como cloudflare.com sí tienen DNSSEC habilitado y firman sus respuestas correctamente.
La ausencia de DNSSEC en estos dominios no es nueva; se ha reportado en foros de seguridad desde hace años.
Amazon y Google ofrecen servicios DNSSEC a sus clientes, pero no lo aplican en sus propios dominios principales.

Lo que puedes hacer

Verifica si tus propios dominios tienen DNSSEC activado. Usa herramientas como dnssec-validator o el sitio dnssec-analyzer.verisignlabs.com.
Si usas AWS Route53 o Google Cloud DNS, revisa que la opción "Signing" esté habilitada en la zona alojada.
Para navegación diaria, instala extensiones como DNSSEC/TLSA Validator que alertan si un sitio no usa DNSSEC.

En una frase

“

AWS y Google, dueños de la infraestructura de internet, no protegen sus dominios principales con DNSSEC, dejando a millones de usuarios vulnerables a suplantación de DNS.

Por qué importa

Que los dos gigantes que alojan buena parte de internet descuiden esta protección básica es preocupante. Si ellos no lo hacen, ¿qué esperar del resto?

Qué dice el contexto

La verificación se realizó mediante el comando delv y consultas a resolvedores públicos como Cloudflare (1.1.1.1) y Google (8.8.8.8).

Los dominios aws.com y google.com devuelven status: NXDOMAIN para registros DNSKEY, indicando que no hay claves DNSSEC configuradas.

En cambio, dominios como cloudflare.com sí tienen DNSSEC habilitado y firman sus respuestas correctamente.

La ausencia de DNSSEC en estos dominios no es nueva; se ha reportado en foros de seguridad desde hace años.

Amazon y Google ofrecen servicios DNSSEC a sus clientes, pero no lo aplican en sus propios dominios principales.

Lo que puedes hacer

Verifica si tus propios dominios tienen DNSSEC activado. Usa herramientas como dnssec-validator o el sitio dnssec-analyzer.verisignlabs.com.

Si usas AWS Route53 o Google Cloud DNS, revisa que la opción "Signing" esté habilitada en la zona alojada.

Para navegación diaria, instala extensiones como DNSSEC/TLSA Validator que alertan si un sitio no usa DNSSEC.