Un ataque que inyecta registros DNS falsos en la caché de un resolutor, redirigiendo tráfico a servidores controlados por atacantes. El resolutor de la víctima entonces sirve datos envenenados a clientes sin saber que ha sido comprometido.
Funciona porque implementaciones más antiguas de DNS no validaban autenticidad de respuestas. El atacante inunda un resolutor con respuestas falsificadas esperando que una coincida con una consulta saliente que el resolutor hace. Si el tiempo y ID de transacción se alinean, el registro falso se pega en caché por horas o días.
Impacto: usuarios se redirigen a sitios de phishing, descargas de malware o endpoints de vigilancia. Tu dominio se ve legítimo para la víctima. Un resolutor comprometido puede envenenar miles de clientes aguas abajo simultáneamente.
Defensa: DNSSEC firma criptográficamente datos de zona para que resolutores rechacen respuestas sin firmar o inválidas. Aleatorización de consultas (puertos de origen aleatorios, IDs de transacción) hace falsificación más difícil. Resolutores modernos usualmente implementan ambos. Pero adopción de DNSSEC sigue siendo parcheada, y muchas zonas permanecen sin firmar.
Relevante si ejecutas tu propio resolutor recursivo u operas un servicio DNS anycast. Menos relevante si simplemente apuntas tu dominio a un servidor de nombres de terceros—la seguridad de ese proveedor es su problema (y a veces no es buena).