DNS over TLS

El práctico sistema de nombres de dominio o domain name system (DNS) nos permite navegar có­mo­da­me­n­te por Internet: si no existiera, te­n­dría­mos que escribir la dirección IP numérica en el navegador cada vez que qui­sié­ra­mos visitar una página web. En cambio, gracias al DNS, basta con escribir el URL de la página, que suele ser fácil de recordar. Sin embargo, hasta ahora, la comodidad ha ido a expensas de la seguridad. El protocolo DNS over TLS (DoT) podría reducir en gran medida los riesgos que conlleva navegar por Internet. ¿Cómo funciona esta te­c­no­lo­gía?

El concepto del sistema de nombres de dominio es muy práctico, pero se concibió en un momento en que Internet no estaba tan extendido y la seguridad no generaba tanta preo­cu­pa­ción. El fu­n­cio­na­mie­n­to del DNS se basa en que el cliente (por ejemplo, un ordenador de mesa) solicita a un servidor de nombres la dirección IP co­rre­s­po­n­die­n­te al dominio que ha in­tro­du­ci­do el usuario. Si la IP ya no está guardada en caché en el navegador, el ordenador o el rúter, debe so­li­ci­tar­se por Internet. Los ataques se producen durante el proceso de co­mu­ni­ca­ción entre el cliente y el servidor DNS, porque casi todo el in­te­r­ca­m­bio de datos se lleva a cabo sin cifrar.

Por lo tanto, para los ci­be­r­de­li­n­cue­n­tes, es muy fácil observar o manipular la co­mu­ni­ca­ción entre los pa­r­ti­ci­pa­n­tes, por ejemplo, in­te­r­ce­p­ta­n­do una solicitud y de­vo­l­vie­n­do una respuesta frau­du­le­n­ta. Esta técnica se conoce como DNS hijacking y redirige al usuario a una página ilegítima, donde, en el mejor de los casos, se le acosa con una avalancha de pu­bli­ci­dad y, en el peor, se infecta su di­s­po­si­ti­vo con malware o es víctima de un ataque de phishing que termina con el robo de sus datos más co­n­fi­de­n­cia­les.

También los gobiernos y los pro­vee­do­res de Internet apro­ve­chan los puntos débiles del DNS para exponer al usuario a más pu­bli­ci­dad o impedir el acceso a ciertas páginas web, ya sea para hacer cumplir la le­gi­s­la­ción de Internet del país o para aplicar medidas de censura. En este sentido, las co­ne­xio­nes cifradas con DoT pueden ayudar a pro­te­ge­r­se de estas ac­ti­vi­da­des tanto como de los ataques in­fo­r­má­ti­cos.

El protocolo de seguridad de la capa de tra­n­s­po­r­te (TLS, del inglés transport layer security) funciona en la capa superior de la pila de pro­to­co­los TCP/IP, por lo que es una parte integral de Internet y de muchas otras redes. En este protocolo se basa el sistema HTTPS, que, de esta manera, pro­po­r­cio­na un in­te­r­ca­m­bio de datos más seguro entre el cliente y el servidor web. En el futuro, se espera que el TLS también aumente la seguridad de la co­mu­ni­ca­ción en el DNS.

Con el DNS over TLS, los datos se tra­n­s­fie­ren por un túnel en­cri­p­ta­do. Solo los dos pa­r­ti­ci­pa­n­tes del in­te­r­ca­m­bio pueden descifrar y procesar los datos, lo que im­po­si­bi­li­ta un ataque man in the middle, ya que los datos se tra­n­s­mi­ten a través de co­ne­xio­nes TCP simples y el puerto es­ta­n­da­ri­za­do 853, por lo que son inac­ce­si­bles para los atacantes. En otras palabras, DoT utiliza un puerto in­de­pe­n­die­n­te que solo está destinado al in­te­r­ca­m­bio de in­fo­r­ma­ción de dominio.

En cualquier caso, esta te­c­no­lo­gía debe ser co­m­pa­ti­ble tanto del lado del servidor como del cliente para ser funcional. Ac­tua­l­me­n­te, hay varios pro­vee­do­res de Internet que pro­po­r­cio­nan los co­rre­s­po­n­die­n­tes se­r­vi­do­res DNS. Para poder acceder a ellos con el ordenador de mesa o portátil, debes instalar el software adecuado. Existen diversas so­lu­cio­nes para Windows y Linux, mientras que los sma­r­t­pho­nes con la última versión de Android ya son co­m­pa­ti­bles con DNS over TLS.

Como el sistema de nombres de dominio clásico no ofrece ninguna medida de seguridad, cuesta encontrar alguna pega al DoT. El cifrado del in­te­r­ca­m­bio de los datos evita, tanto que los ci­be­r­de­li­n­cue­n­tes puedan in­te­r­ce­p­tar­los, como que los gobiernos pongan en práctica medidas de censura, al menos en teoría. No obstante, muchos expertos en pro­te­c­ción de datos critican el DNS over TLS por utilizar un único puerto y co­n­si­de­ran un problema que se puedan reconocer las so­li­ci­tu­des de DNS, aunque no se pueda saber a qué páginas se refieren. Por su parte, muchos ad­mi­ni­s­tra­do­res de red opinan que este paso es im­po­r­ta­n­te para obtener una mejor visión general de las ac­ti­vi­da­des en Internet.

Ac­tua­l­me­n­te, la falta de difusión del DNS over TLS también supone un problema. Aparte de Android 9, en todos los demás sistemas ope­ra­ti­vos debe in­s­ta­lar­se un software adicional para uti­li­zar­lo. Además, esta te­c­no­lo­gía tampoco está tan extendida (todavía) del lado del servidor: hay algunos pro­vee­do­res que la ofrecen, pero el número queda muy por debajo de los que pro­po­r­cio­nan el DNS clásico. Por todo ello, a algunos expertos les preocupa que se genere un monopolio: hoy por hoy, los pro­vee­do­res de Internet ofrecen gran parte de los se­r­vi­do­res de nombres, pero en el futuro otras empresas ―muchas menos a nivel in­te­r­na­cio­nal― podrían aglomerar las so­li­ci­tu­des de DNS.

Además del DoT, ac­tua­l­me­n­te se habla mucho de otra te­c­no­lo­gía que puede aumentar la seguridad de la re­so­lu­ción de nombres: DNS over HTTPS (DoH). Ambas so­lu­cio­nes tienen en común que cifran el in­te­r­ca­m­bio de datos, pero su mayor di­fe­re­n­cia radica en el puerto que utilizan para ello. Esta aparente nimiedad ha creado una profunda brecha de opinión entre los expertos: mientras que el DNS over TLS utiliza su propio puerto, DoH recurre al puerto 443, que también se emplea en el resto de co­ne­xio­nes HTTPS, como las visitas a las páginas web. Esto implica que las so­li­ci­tu­des de DNS no se puedan di­s­ti­n­guir del resto del tráfico de Internet.

Desde el punto de vista de la pro­te­c­ción de datos, lo anterior re­pre­se­n­ta una ventaja: si la solicitud del DNS no se reconoce, no es posible ma­ni­pu­lar­la. Sin embargo, algunos ad­mi­ni­s­tra­do­res de red temen la pérdida de control del tráfico de la red y, por lo tanto, la in­ca­pa­ci­dad de gestionar co­rre­c­ta­me­n­te las co­mu­ni­ca­cio­nes.

De esta manera, se han formado dos bandos que quieren ge­ne­ra­li­zar el uso de su propia solución. Detrás del DoT está pri­n­ci­pa­l­me­n­te el IETF, un consorcio que se ocupa del de­sa­rro­llo de la red. El IETF crea es­tá­n­da­res que, en muchos casos, acaban siendo adoptados por muchos grupos de interés de Internet. Por el otro lado, muchas empresas y or­ga­ni­za­cio­nes apoyan el DNS over HTTPS, como Google y la Fundación Mozilla.