▸ Bloqueo de amenazas

Bloqueo de amenazas

Quad9 ha integrado fuentes de información sobre amenazas tanto comerciales como públicas. Cada una de ellas ha sido elegida en función de su capacidad demostrada para identificar a los autores de las amenazas y proporcionar una amplia gama de capacidades para identificar exploits, malware, ransomware, spyware y otros sitios potencialmente dañinos. Estos dominios o hosts se actualizan en nuestras listas a partir de nuestros socios de información sobre amenazas(de sus siglas en inglés, TI) , que nos suministran datos en fuentes de información que se actualizan y distribuyen rápidamente a medida que surgen nuevos riesgos asociados a los dominios.

Método de bloqueo

Casi todas las transacciones en Internet comienzan con una búsqueda de nombre. Un navegador, un dispositivo móvil, una aplicación o un sistema IoT intentan establecer una conexión con un nombre ("www.example.com") al inicio de la carga de una página o de otra interacción. Sin embargo, los nombres no tienen sentido para los sistemas conectados a Internet, ya que necesitan conectarse a una dirección IP ("10.10.2.3"). Por eso, se utiliza un sistema de asignación de nombres a números conocido como Sistema de Nombres de Dominio (DNS) para buscar esos nombres y luego descubrir qué direcciones IP están asociadas a ellos. El dispositivo del cliente necesita comunicarse con lo que se conoce como "servidor DNS recursivo" o "servidor" para realizar esta búsqueda. Por lo general, el ISP(del inglés,Proveedor de Servicios de Internet), el administrador de la red local o el router de la casa proporcionan este servidor que se encuentra en algún lugar cercano de la red. El cliente se conecta al servidor y le da el nombre y luego, después de un conjunto bastante complejo de búsquedas que pueden abarcar gran parte de Internet, el servidor devuelve al cliente la dirección IP necesaria. Quad9 sustituye al servidor local, realizando exactamente la misma función, pero añadiendo una lista de bloqueo de dominios conocidos como maliciosos. Si el cliente pregunta por un host malicioso, el servidor Quad9 se niega a responder con la dirección IP, impidiendo que el cliente se conecte al destino malicioso. La configuración de Quad9 en sus dispositivos se puede encontrar aquí.

Tipos de bloqueo

Quad9 bloquea sólo los sitios que representan un peligro para el usuario final, su equipo o la red. Quad9 no bloquea contenidos, por lo que los acuerdos con los proveedores de información sobre amenazas estipulan que los criterios de bloqueo están exclusivamente relacionados con la seguridad y no se basan en otras categorías. Quad9 no bloquea la publicidad ni los rastreadores web. Para los usuarios que deseen obtener todos los nombres, sin bloquearlos, Quad9 opera un conjunto de direcciones IP que proporcionan esta posibilidad- ver nuestra página de configuración.

Beneficios del bloqueo

Al impedir las conexiones a sitios maliciosos, Quad9 elimina la exposición a los riesgos incluso antes de que se descarguen en los ordenadores o antes de que la víctima pueda ver el sitio web fraudulento. La imposibilidad de llegar a un host malicioso significa que las defensas de segunda capa, como la protección antivirus o la detección basada en el usuario, como el examen de certificados, nunca entran en acción.

Quad9 puede evitar las conexiones sólo a los sitios que utilizan DNS en su señalización o distribución. Un estudio reciente determinó que aproximadamente el 33% de las violaciones de seguridad cibernética podrían ser bloqueadas por un sistema basado en DNS como Quad9 (https://www.globalcyberalliance.org/reports_publications/measuring-the-economic-value-of-dns-security/)

Quad9 sugiere que todos los usuarios tengan múltiples métodos para defenderse de los peligros cibernéticos, como el software antivirus. Pero como defensa de primera capa sin coste y de fácil instalación, Quad9 es extremadamente eficaz en la prevención de un amplio conjunto de infecciones o actividades fraudulentas y puede implementarse fácilmente en casi todos los dispositivos conectados a Internet en una red o en el hogar.

Fuentes de datos de bloqueo

Quad9 se asocia con muchas fuentes de información sobre amenazas (de las siglas en inglés,TI), tanto comerciales como públicas. Estos socios proporcionan datos sobre amenazas a Quad9 como parte de sus misiones para ayudar a reducir el riesgo y la ciberdelincuencia en Internet y también porque su asociación con Quad9 puede ayudarles a mejorar su propia capacidad para detectar estos riesgos. La combinación de un patrocinio filantrópico de la mano de una retroalimentación virtuosa de mejora en la detección crea unas condiciones en las que los usuarios de Quad9 se benefician a medida que aumenta el uso de la plataforma: más bloqueos significan una mayor mejora de la respuesta de bloqueo.

Los socios de TI proporcionan a Quad9 información sobre dominios o hosts que cosideran que deben ser bloqueados, y a su vez los socios reciben de Quad9 información casi en tiempo real sobre los índices volumétricos de las amenazas que enumeran. Estos datos volumétricos les permiten comprender el estado de ascenso o descenso de diversas campañas de amenazas y les permite mejorar las listas de dominios de riesgo que proporcionan a Quad9. Quad9 es exclusivamente una herramienta de distribución para los datos de amenazas generados por los socios - no generamos nuestro propio conjunto de Indicadores de Compromiso (IOC) basados en dominios y, por lo tanto, no competimos con nuestros socios de TI.

Por lo general, Quad9 obtiene dominios maliciosos de unas veinte fuentes de TI diferentes. Muchas de estas fuentes tienen una amplia capacidad de detección de malware y proporcionan una amplia cobertura contra las nuevas amenazas de dominio. Otras son más específicas: pueden, por ejemplo, dirigirse a nichos de mercado como el fraude financiero, homoglifos, los comportamientos pasados de la red IDS, el phishing que se puede detectar por reconocimiento visual de objetos, el reconocimiento óptico de caracteres (OCR), la estructura y los enlaces a otros sitios, o el spyware basado en aplicaciones. Esta combinación de conocimientos extremadamente diversos de los proveedores de TI permite a Quad9 ser más eficaz que cualquier otro sistema de bloqueo de DNS que dependa únicamente de su propia fuente de detección de malware o dominios fraudulentos.

Este modelo de donación de datos y mejora conjunta existe porque Quad9 es una organización sin fines de lucro cuyos objetivos están específicamente alineados con la seguridad y la privacidad de nuestros usuarios finales y no con la obtención de dinero de nuestros clientes. Quad9 añade y modifica constantemente el conjunto de proveedores de amenazas para ampliar las capacidades de bloqueo de amenazas más precisas y rápidas a nuestra comunidad de usuarios.