Sobre el DNS cifrado

eff

El DNS cifrado podría ayudar a cerrar la mayor brecha de privacidad en Internet. ¿Por qué algunos grupos están luchando en su contra?

Max Hunter

Gracias al éxito de proyectos como Let’s Encrypt y los recientes cambios de UX en los navegadores, la mayoría de las cargas de página están ahora encriptadas con TLS. Pero DNS, el sistema que busca la dirección IP de un sitio cuando escribes el nombre del sitio en el navegador, permanece desprotegido.

Debido a esto, cualquier persona que esté en el camino entre su red para resolver el DNS (donde los nombres de dominio se convierten en direcciones IP) puede recopilar información sobre los sitios que visita. Esto significa que ciertos fisgones pueden hacer un perfil de tu actividad en línea haciendo una lista de los sitios que visitastes, o una lista de quiénes visitan un sitio en particular. Los resolvedores de DNS maliciosos o los enrutadores que te encuentras por el camino, también pueden alterar tu solicitud de DNS, impidiéndote acceder a los sitios o incluso enrutándote a versiones falsas de los sitios que solicitastes.

plaindns

Un equipo de ingenieros está trabajando para solucionar estos problemas con “DNS over HTTPS” (o DoH), un proyecto tecnológico en desarrollo a través de Internet Engineering Task Force encabezado por Mozilla. DNS sobre HTTPS previene las escuchas en ruta, el spoofing y el bloqueo mediante la encriptación de tus solicitudes de DNS con TLS.

doh-whitebackground

Junto con tecnologías como TLS 1.3 y SNI cifrado, DoH tiene capacidad para proporcionar grandes protecciones de privacidad. Sin embargo, muchos proveedores de servicios de Internet y participantes en el proceso de normalización han expresado una gran preocupación por el desarrollo del protocolo. La Asociación de Proveedores de Servicios de Internet del Reino Unido llegó incluso a llamar a Mozilla un “villano de Internet” por su papel en el desarrollo de la DdH.

A los ISP les preocupa que la DdH complique el uso de portales cautivos, utilizados para interceptar conexiones brevemente y obligar a los usuarios a conectarse a una red, y que hagan más difícil bloquear el contenido a nivel de resolución. El DNS sobre HTTPS puede socavar los planes en el Reino Unido para bloquear el acceso a la pornografía en línea (el bloqueo, introducido como parte de la Ley de Economía Digital de 2017, estaba previsto que se implementara a través del DNS).

Los miembros de la sociedad civil también han expresado su preocupación por los planes de que los navegadores usen automáticamente resuelvedores de DNS específicos, anulando la resolución configurada por el sistema operativo (que hoy en día es la que más a menudo sugiere el ISP). Esto contribuiría a la centralización de la infraestructura de Internet, ya que miles de resolvedores de DNS utilizados para las solicitudes web serían sustituidos por un puñado.

Esta centralización aumentaría el poder de los operadores de resolución de DNS elegidos por los proveedores de navegadores, lo que permitiría a los operadores de resolución censurar y supervisar la actividad en línea de los usuarios de navegadores. Esta capacidad llevó a Mozilla a impulsar políticas fuertes que prohíben este tipo de censura y monitorización. Los méritos de confiar en diferentes entidades para este propósito son complicados, y diferentes usuarios pueden tener razones para tomar diferentes decisiones. Pero para evitar que esta implementación de tecnología produzca un efecto centralizador tan poderoso, la Fundación de la Frontera Electrónica EFF está pidiendo la implementación generalizada de DNS sobre soporte HTTPS por parte de los propios proveedores de servicios de Internet. Esto permitiría que los beneficios de seguridad y privacidad de la tecnología se hicieran realidad, a la vez que ofrecería a los usuarios la opción de seguir utilizando la enorme variedad de resolvedores proporcionados por los ISP que suelen utilizar en la actualidad. Varios proveedores de servicios de Internet respetuosos con la intimidad ya han respondido a la llamada. Hablamos con Marek Isalski, Director de Tecnología del ISP Faelix, con sede en el Reino Unido, para discutir sus planes sobre DNS cifrado.

apoyarFaelix ha implementado soporte para DNS sobre HTTPS en su resolver pdns.faelix.net. No estaban motivados por la preocupación por la vigilancia del gobierno, dice Marek, sino por “la monetización de nuestros datos personales”. Para Marek, el apoyo a las tecnologías de protección de la privacidad es un imperativo moral. “Creo que es nuestra vocación, como personas con conocimientos de informática y privacidad, ayudar a otros a comprender los derechos que GDPR ha aportado a los europeos“, dijo, “y dar a las personas las herramientas que pueden utilizar para tomar el control de su privacidad“.

La Fundación de la Frontera Electrónica EFF está muy entusiasmado con las protecciones de privacidad que traerá DoH, especialmente porque muchos estándares de Internet y desarrolladores de infraestructura han señalado las consultas DNS no cifradas como una excusa para retrasar la activación de la encriptación en otros sitios de Internet. Pero como con cualquier cambio fundamental en la infraestructura de Internet, la DdH debe desplegarse de una manera que respete los derechos de los usuarios. Los navegadores deben ser transparentes sobre quién tendrá acceso a los datos de solicitud de DNS y dar a los usuarios la oportunidad de elegir su propia solución. Los ISPs y otros operadores de resolvedores públicos deberían implementar soporte de DNS encriptado para ayudar a preservar un ecosistema descentralizado en el que los usuarios tengan más opciones de los que depender para varios servicios. También deben comprometerse con las protecciones de datos como las que Mozilla ha descrito en su política Trusted Recursive Resolver. Con estos pasos, el DNS sobre HTTPS tiene el potencial de cerrar una de las brechas de privacidad más grandes de la web.

La justicia europea congela la amenaza de las cartas que exigen 400 euros para evitar ir a juicio por piratería

La naviera saudí encargada del traslado de armas vuelve a utilizar los puertos españoles

La guerra empieza aquí: contra el transporte de armamento saudí a la guerra de Yemen desde puertos españoles

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: