El sistema de nombres de dominio (DNS, Domain Name System) es un sistema di­s­tri­bui­do glo­ba­l­me­n­te para traducir los dominios de Internet en di­re­c­cio­nes IP. El DNS devuelve una dirección IP para un nombre de dominio, actuando como la “libreta de di­re­c­cio­nes” de Internet. El concepto de dirección IP equivale a una dirección postal a la que pueden enviarse paquetes. Estos son algunos ejemplos de consultas al DNS:

Nombre de dominio so­li­ci­ta­do Dirección IP devuelta
‘example.com’ ‘93.184.216.34’
‘ionos.es’ ‘217.160.86.79’

Para que la re­so­lu­ción de nombres funcione, la dirección IP del servidor DNS debe ser in­tro­du­ci­da en cada di­s­po­si­ti­vo final. El di­s­po­si­ti­vo final dirige sus consultas del DNS a dicho servidor. Los datos re­su­l­ta­n­tes pueden decir mucho sobre la na­ve­ga­ción del usuario en Internet. Si quieres proteger tu pri­va­ci­dad, es re­co­me­n­da­ble enviar consultas DNS salientes a se­r­vi­do­res de confianza. Pero ¿qué pasa si algo falla?

DNS gratuito
Reduce el tiempo de carga de tus páginas web
  • Re­so­lu­ción rápida de dominios para una página web siempre di­s­po­ni­ble
  • Mayor pro­te­c­ción contra fallos y tiempos de inac­ti­vi­dad
  • No requiere tra­n­s­fe­re­n­cia de dominio

¿Qué es una fuga de DNS?

A di­fe­re­n­cia del DNS hijacking y del DNS spoofing, las fugas de DNS (en inglés DNS leaks) solo co­m­pro­me­ten a aquellos que intentan mantener su na­ve­ga­ción privada. Co­n­cre­ta­me­n­te, a los usuarios que se conectan a Internet a través de una red virtual privada (VPN, virtual private network) o de un proxy. Ambas te­c­no­lo­gías se utilizan para ocultar la identidad personal en Internet.

El deseo de mantener oculta la na­ve­ga­ción no es sinónimo de ac­ti­vi­da­des ilegales. El derecho a la pri­va­ci­dad y la au­to­de­te­r­mi­na­ción son derechos humanos fu­n­da­me­n­ta­les. Los pro­vee­do­res de servicios de VPN apoyan este deseo a cambio de una cuota. El uso de proxies, algo común an­ti­gua­me­n­te, está cada vez menos extendido. Por este motivo, nos ce­n­tra­re­mos en las fugas de DNS uti­li­za­n­do una VPN.

Los servicios de una VPN enrutan todo el tráfico saliente de la red a través de la VPN. Sin embargo, en algunas ocasiones, las co­ne­xio­nes in­di­vi­dua­les pueden ser re­di­ri­gi­das di­re­c­ta­me­n­te desde el di­s­po­si­ti­vo del usuario a terceros. Una DNS leak ocurre cuando una solicitud de DNS que debería ser enviada a través de la VPN llega a un servidor DNS sin pro­te­c­ción. En muchas ocasiones, se trata del servidor DNS del proveedor de Internet (ISP). Los ISP son conocidos por conseguir, evaluar y vender estos datos.

¿Qué in­fo­r­ma­ción se filtra?

¿Qué sucede cuando ocurre una fuga de DNS y qué in­fo­r­ma­ción se comparte? En primer lugar, se deben di­s­ti­n­guir tres casos:

  1. In­fo­r­ma­ción que va al ISP del usuario
  2. In­fo­r­ma­ción que es in­te­r­ve­ni­da de camino al servidor DNS
  3. In­fo­r­ma­ción revelada por parte de un operador de servicios

Una consulta DNS recibida por el servidor DNS del ISP contiene el nombre de dominio a resolver y la dirección IP no oculta del usuario final. Con una marca temporal en los registros de los se­r­vi­do­res del ISP, se ofrece in­fo­r­ma­ción sobre cuándo y a qué dominios quiso acceder un usuario. Esto es un problema grave de pri­va­ci­dad. Por un lado, los datos del DNS se guardan en perfiles y se venden. Por otro lado, grupos gu­be­r­na­me­n­ta­les pueden acceder a dichos datos. En el peor de los casos, esto puede ser fatal para ciertos sectores sociales, como los di­si­de­n­tes o los ac­ti­vi­s­tas.

Las so­li­ci­tu­des de DNS utilizan el protocolo UDP (User Datagram Protocol) como protocolo de conexión. Los paquetes UDP son visibles de camino al servidor DNS para cualquier actor capaz de vigilar la tra­n­s­mi­sión. Para mantener oculta la na­ve­ga­ción del usuario final, las so­li­ci­tu­des de DNS deben ser enrutadas a través de la VPN. Desde las re­ve­la­cio­nes de Snowden, se sabe que los or­ga­ni­s­mos de in­te­li­ge­n­cia vigilan, filtran, evalúan y almacenan el tráfico de Internet de forma masiva. Los paquetes de DNS ide­n­ti­fi­ca­bles pe­r­so­na­l­me­n­te re­su­l­ta­n­tes de una fuga suponen una gran amenaza para la seguridad y pri­va­ci­dad de los usuarios de Internet.

Además de los peligros ya me­n­cio­na­dos en cuanto a las fi­l­tra­cio­nes del DNS, existe otro riesgo. Las fi­l­tra­cio­nes del DNS pueden ser uti­li­za­das por terceros, por ejemplo, por un proveedor como el operador de una página web. Este proveedor puede utilizar he­rra­mie­n­tas para de­te­r­mi­nar si el usuario está ac­ce­die­n­do al servicio a través de una VPN. El ISP del usuario puede revelarse al proveedor. Esto, a su vez, puede revelar la ubicación geo­grá­fi­ca del usuario. Este mismo truco puede uti­li­zar­se a favor del usuario mediante las pruebas para fugas de DNS.

¿Cómo funciona la prueba de DNS Leak?

Hay una gran variedad de servicios que intentan detectar las fugas de DNS. Uno de estos servicios, conocido como “DNS Leak Tester”, se im­ple­me­n­ta como una página web normal a la que el usuario accede a través del navegador. Para comprobar la presencia de una fuga de DNS, estas pruebas realizan una serie de intentos de conexión es­pe­cia­les. El objetivo es rastrear de dónde vienen las consultas DNS re­su­l­ta­n­tes. Pero ¿cómo funciona exac­ta­me­n­te?

Para entender el fu­n­cio­na­mie­n­to de este tipo de prueba, debemos saber cómo está es­tru­c­tu­ra­do el DNS. El DNS es un sistema je­rá­r­qui­co de se­r­vi­do­res de nombres. Este distingue entre los se­r­vi­do­res de nombres au­to­ri­za­dos y los no au­to­ri­za­dos. Un servidor de nombres au­to­ri­za­do sirve como fuente de datos DNS de una zona DNS. La zona DNS puede in­te­r­pre­tar­se como un dominio con más su­b­do­mi­nios.

Además de los se­r­vi­do­res de nombre au­to­ri­za­dos, hay se­r­vi­do­res de nombres que almacenan parte de los datos DNS en la caché. De esta manera, las consultas ya hechas pueden re­s­po­n­de­r­se de forma rápida, sin volver a preguntar al servidor de nombres au­to­ri­za­do. El servidor DNS del ISP es un servidor de nombres no au­to­ri­za­do para la mayoría de los dominios. ¿Qué sucede cuando el servidor DNS del ISP recibe una solicitud de un nombre de dominio?

  1. Un cliente quiere recuperar un recurso alojado en un nombre de dominio.
  2. El cliente solicita un nombre de dominio al servidor DNS de su ISP.
  3. Si el servidor DNS conoce la dirección IP asociada al dominio, lo devolverá.
  4. Si no es así, el servidor DNS del ISP co­n­su­l­ta­rá al servidor DNS au­to­ri­za­do de la zona DNS que sea padre del nombre de dominio.
  5. El servidor DNS au­to­ri­za­do devolverá la dirección IP del nombre de dominio.
  6. El servidor DNS del ISP tra­n­s­fe­ri­rá la dirección IP al cliente y al­ma­ce­na­rá la solicitud en su caché.
  7. El cliente podrá ahora hacer la solicitud del recurso al servidor bajo el nombre de dominio.

Un DNS leak tester se basa en este principio. Te lo ex­pli­ca­mos con la página DNS Leak Test como ejemplo:

  1. Un usuario entra en la página dn­s­lea­k­te­st.com desde el navegador. La página para la prueba de fugas de DNS genera consultas a recursos ficticios bajo un su­b­do­mi­nio generado al azar, por ejemplo:
    c6fe4e11-d84d-4a32-86ef-ee60d9c543fa.test.dn­s­lea­k­te­st.com
  2. Para recuperar uno de los recursos, el navegador del usuario de la página necesita la dirección IP asociada al nombre del dominio. Ya que es un nombre de dominio generado alea­to­ria­me­n­te, ningún servidor DNS, excepto el au­to­ri­za­do, conocerá la dirección IP.
  3. Por lo tanto, el servidor DNS que recibe la solicitud consulta al servidor DNS au­to­ri­za­do para la zona DNS test.dn­s­lea­k­te­st.com. El servidor DNS au­to­ri­za­do para este nombre de dominio está bajo el control del operador de la página dn­s­lea­k­te­st.com.
  4. El servidor DNS au­to­ri­za­do compara la parte única y generada al azar del nombre de dominio con las entradas de una base de datos interna. En la página dn­s­lea­k­te­st.com podrás ver, por ejemplo, qué solicitud de DNS entrante pertenece a qué usuario de la página.
  5. En la dirección IP, el servidor DNS au­to­ri­za­do sabe en qué servidor DNS externo se originó la solicitud de la dirección IP del nombre de dominio generado al azar. Si la fuente de la solicitud es el servidor DNS de un ISP, hay una fi­l­tra­ción del DNS.

¿Qué otras pruebas de fuga de DNS existen?

En principio, es sencillo poder utilizar un test de fuga de DNS. Para in­fo­r­ma­ción más detallada, te re­co­me­n­da­mos este artículo. Si quieres saber si eres víctima de una fuga de DNS, puedes usar alguna de las pruebas exi­s­te­n­tes. Te pre­se­n­ta­mos algunos ejemplos:

¿Cómo evitar fugas de DNS?

La mejor es­tra­te­gia para evitar las fugas de DNS se basa en el concepto de seguridad “defense in depth” (defensa en pro­fu­n­di­dad). Se trata de construir múltiples capas de pro­te­c­ción contra las amenazas. Si se elimina una capa, la pro­te­c­ción permanece. Te re­co­me­n­da­mos que sigas los pasos que aparecen a co­n­ti­nua­ción para evitar estas fugas:

  1. Configura se­r­vi­do­res DNS en el di­s­po­si­ti­vo local y el router doméstico que no estén bajo el control del ISP. Esta es una medida de pro­te­c­ción básica que también previene otros riesgos como el DNS hijacking. Re­co­me­n­da­mos el uso de Quad9 o de Clou­d­fla­res 1.1.1.1. Después de hacer cambios en el servidor DNS, no olvides vaciar la caché.
  2. Utiliza software que encripte las co­ne­xio­nes DNS, por ejemplo DNS over HTTPS (DoH) o DNS over TLS (DoT). Estos protegen contra la ma­ni­pu­la­ción de los paquetes DNS de camino al servidor DNS y, por tanto, también evitan los ataques de DNS spoofing. La en­cri­p­ta­ción del DNS depende del software utilizado. Entre los na­ve­ga­do­res más conocidos, Firefox es el líder en cambiar a co­ne­xio­nes DNS en­cri­p­ta­das. Sin embargo, y tal como tal se explica en nuestro artículo sobre DoH, es necesario realizar ajustes en la co­n­fi­gu­ra­ción del navegador.
  3. Utiliza un cliente VPN que enrute las so­li­ci­tu­des DNS a través de la VPN y pro­po­r­cio­ne sus propios se­r­vi­do­res DNS. Esto te protegerá de todos los peligros asociados a las fugas de DNS. Existen mu­chí­si­mos pro­vee­do­res de VPN. Algunos son gratuitos y otros de pago. En general, se re­co­mie­n­da tener cuidado con los servicios VPN gratuitos, ya que no puedes esperar de ellos el mismo nivel de pro­te­c­ción.
Consejo

Hemos creado una lista general sobre di­fe­re­n­tes VPN services.

Los puntos me­n­cio­na­dos pro­po­r­cio­nan un nivel de pro­te­c­ción básico contra fi­l­tra­cio­nes del DNS y deberían ser su­fi­cie­n­tes para la gran mayoría de usuarios de Internet. Los grupos es­pe­cia­l­me­n­te vu­l­ne­ra­bles, como los ac­ti­vi­s­tas por los derechos humanos, deben tomar pre­cau­cio­nes adi­cio­na­les.

  • Se re­co­mie­n­da el uso del navegador Tor. Es conocido por prevenir efi­ca­z­me­n­te fugas de DNS al acceder a las páginas web.
  • Para ase­gu­rar­te de que todas las co­ne­xio­nes red salientes se enrutan a través de la red Tor y se de­s­pe­r­so­na­li­zan, puedes ejecutar Tails Linux desde una memoria USB. Esta es una de las claves más im­po­r­ta­n­tes a la hora de ocultar la identidad en Internet.
Ir al menú principal