El sistema de nombres de dominio o Domain Name System (DNS) es una solución apropiada y con una eficacia probada: los usuarios solo tienen que in­tro­du­cir una dirección web di­s­ti­n­ti­va en su navegador y el sistema encuentra la dirección IP adecuada para esta con la mayor rapidez posible. Para ello, se utilizan di­fe­re­n­tes se­r­vi­do­res de nombres que han al­ma­ce­na­do la dirección numérica co­rre­s­po­n­die­n­te para el URL. Aunque en principio sigue siendo ple­na­me­n­te funcional, el DNS en­tre­ta­n­to se ha quedado ya obsoleto pues, cuando los de­sa­rro­lla­do­res crearon el sistema hace varias décadas, no se preo­cu­pa­ron por la seguridad.

Sin embargo, desde la pe­r­s­pe­c­ti­va actual, el DNS es más que inseguro. Las so­li­ci­tu­des y las re­s­pue­s­tas se tra­n­s­mi­ten por lo general sin cifrar y, por lo tanto, cualquier persona puede leerlas. En la práctica, esto quiere decir que un ci­be­r­de­li­n­cue­n­te puede in­te­r­ce­p­tar­las fá­ci­l­me­n­te con su propio servidor. Esta práctica llamada DNS hijacking lleva a los usuarios a sitios web que los engañan con malware o phishing o los invaden con enormes ca­n­ti­da­des de anuncios. Por esto, el DNS over HTTPS (DoH) es ahora un tema de discusión entre los expertos. ¿Es esta la es­tra­te­gia adecuada para hacer de Internet un lugar más seguro?

¿Para qué se necesita DNS over HTTPS?

Con DoH se pretende alcanzar varias metas a la vez: al ejecutar DNS sobre el protocolo seguro HTTPS, la principal meta es aumentar la seguridad y pri­va­ci­dad de los usuarios. La conexión cifrada HTTPS no debe permitir a terceros influir en la re­so­lu­ción ni espiarla. Esto significa que un tercero a quien no se le permita pa­r­ti­ci­par en la re­so­lu­ción del nombre no puede saber qué URL se está co­n­su­l­ta­n­do y, por lo tanto, no puede cambiar la respuesta.

Por un lado, esto ayuda a combatir la de­li­n­cue­n­cia en Internet y, por otro, dificulta la censura en las redes. Algunos gobiernos utilizan el DNS para bloquear ciertos sitios web. Por regla general, o bien esto es para re­s­tri­n­gir la libertad de expresión o bien es un intento de aplicar una le­gi­s­la­ción local a Internet.

Asimismo, algunos pro­vee­do­res de Internet (ISP) también emplean la te­c­no­lo­gía del DNS hijacking. Si un usuario introduce una dirección web que no se puede resolver (por ejemplo, por un error ti­po­grá­fi­co), el servidor de nombres no­r­ma­l­me­n­te envía un mensaje de error. Algunos pro­vee­do­res de Internet toman estos mensajes y en su lugar redirigen al usuario a su propio sitio web, que anuncia sus propios productos o los de terceros. Esta acción no es ilegal ni di­re­c­ta­me­n­te pe­r­ju­di­cial para el usuario o su equipo, aunque puede causarle confusión.

A su vez, se desea mejorar el re­n­di­mie­n­to de los DNS. El protocolo utilizado para el DNS no se considera fiable. Al emplear DoH, se uti­li­za­ría el protocolo TCP, que reacciona mucho más rápido si los datos se pierden durante la tra­n­s­mi­sión.

Nota

Sin embargo, el DNS over HTTPS no es todavía un estándar global en Internet. La mayoría de las co­ne­xio­nes siguen fu­n­cio­na­n­do a través del DNS clásico. Hasta la fecha, son Google y Mozilla los que han pro­gre­sa­do en esta área. A partir de la versión 62 de Firefox, por ejemplo, DoH se puede activar como opción. Google está probando ac­tua­l­me­n­te el sistema con usuarios se­le­c­cio­na­dos. Asimismo, hay apli­ca­cio­nes para di­s­po­si­ti­vos móviles que ya permiten navegar a través de DoH. Android Pie también ofrece una opción para DNS over HTTPS en la co­n­fi­gu­ra­ción de red.

Imagen: Opción para DNS over HTTPS en Firefox
Los usuarios de la versión actual de Firefox ya pueden activar DoH en la co­n­fi­gu­ra­ción.

¿Cómo funciona DNS over HTTPS?

La re­so­lu­ción de algunos nombres puede tener lugar di­re­c­ta­me­n­te en el área del usuario: la in­fo­r­ma­ción co­rre­s­po­n­die­n­te se almacena en la caché del navegador o del router. Todo lo que tiene que enviarse a través de Internet se envía no­r­ma­l­me­n­te a través de una conexión UDP. Esto permite un in­te­r­ca­m­bio de in­fo­r­ma­ción muy rápido, si bien no seguro ni fiable. Al usar este protocolo, los paquetes de datos se pierden re­gu­la­r­me­n­te, ya que no existen me­ca­ni­s­mos que ga­ra­n­ti­cen su tra­n­s­mi­sión.

DoH, por otro lado, utiliza HTTPS y, por lo tanto, también el Protocolo de control de tra­n­s­mi­sio­nes (TCP), un protocolo mucho más común en Internet. Las ventajas son, por un lado, que las co­ne­xio­nes se pueden cifrar y, por el otro, que el protocolo garantiza la tra­n­s­mi­sión de datos.

Con DNS over HTTPS, se prevé también que la co­mu­ni­ca­ción siempre se ejecute a través del puerto 443. Dado que el tráfico web real (por ejemplo, el acceso a sitios web) también se ejecuta a través de este puerto, un tercer actor no podrá di­s­ti­n­guir entre una consulta DNS y otra co­mu­ni­ca­ción. Esto añade un nivel adicional de pri­va­ci­dad para el usuario.

Hecho

DNS over HTTPS se definió en RFC 8484.

Ventajas y de­s­ve­n­ta­jas de DNS over HTTPS

Las ventajas del nuevo sistema son evidentes: la te­c­no­lo­gía promete una mayor seguridad y pri­va­ci­dad. Como el sistema DNS clásico no pro­po­r­cio­na ningún tipo de cifrado, el DoH ofrece ya una ventaja con esto. Pero incluso DNS over HTTPS no es co­m­ple­ta­me­n­te seguro ni co­m­ple­ta­me­n­te privado: en los se­r­vi­do­res de nombres, donde tiene lugar la re­so­lu­ción de nombres, la in­fo­r­ma­ción sigue estando visible. Como en el DNS a menudo están im­pli­ca­dos varios niveles de jerarquía, un número re­la­ti­va­me­n­te alto de se­r­vi­do­res sabe quién consulta qué in­fo­r­ma­ción. Esto quiere decir que también se tiene que in­tro­du­cir a los pa­r­ti­ci­pa­n­tes en el DNS en la nueva te­c­no­lo­gía.

DNS over HTTPS, sin embargo, cambia las re­s­po­n­sa­bi­li­da­des. Tra­di­cio­na­l­me­n­te, los se­r­vi­do­res de los pro­vee­do­res de Internet se hacen cargo de una gran parte de la re­so­lu­ción de nombres. Con DoH, por otro lado, los de­sa­rro­lla­do­res de na­ve­ga­do­res deciden a qué se­r­vi­do­res quieren reenviar las so­li­ci­tu­des de DNS. Con Chrome, esto pro­ba­ble­me­n­te tenga lugar a través del propio servidor DNS de Google. Mozilla está ya uti­li­za­n­do el proveedor de Firefox Clou­d­fla­re. Además de la cuestión de si se debe confiar más en estas empresas que en el proveedor de servicios, es pre­ci­sa­me­n­te este en­la­za­mie­n­to el que trae más de­s­ve­n­ta­jas a unas pocas empresas.

Los críticos del DoH co­n­si­de­ran que con esta te­c­no­lo­gía se pone en peligro la neu­tra­li­dad de la red. Por ejemplo, se teme que Google responda más rá­pi­da­me­n­te a las consultas sobre sus propios servicios que a las consultas DNS a otros sitios web. Al co­n­ce­n­trar­se en unos pocos pro­vee­do­res de se­r­vi­do­res DoH, también existe un riesgo de seguridad: a los atacantes les re­su­l­ta­ría mucho más fácil paralizar todo el DNS.

DoH vs. DoT

Además de DNS over HTTPS, se está di­s­cu­tie­n­do otra técnica para asegurar el DNS: DNS over TLS (DoT). A primera vista, los dos sistemas parecen muy similares, ya que tanto el DoH como el DoT prometen más seguridad y pri­va­ci­dad para los usuarios. No obstante, la te­c­no­lo­gía difiere en algunos aspectos. En principio, las dos so­lu­cio­nes han sido im­pu­l­sa­das por di­fe­re­n­tes grupos de interés: mientras que DNS over HTTPS está sobre todo en manos de Mozilla, Google y pro­vee­do­res privados de se­r­vi­do­res DoH, el DoT está en manos de la Internet En­gi­nee­ri­ng Task Force (IETF).

A nivel técnico, DoT se di­fe­re­n­cia de su co­m­pe­te­n­cia por es­ta­ble­cer un túnel TLS en lugar de una conexión HTTPS. También utiliza un puerto diferente: mientras que DoH se ejecuta en el puerto estándar 443 como se mencionó an­te­rio­r­me­n­te, DNS over TLS se comunica en el puerto 853 separado.

Ir al menú principal