DNS mediante HTTPS: nuevo protocolo de seguridad que están implementando Mozilla y Google
Se están buscando nuevas formas de proteger la privacidad de los internautas
Las consultas pasan a estar cifradas y se disfrazan de tráfico HTTPS normal
El protocolo Sistema de Nombres de Dominio (DNS) que actualmente identifica y direcciona los equipos conectados a Internet, presenta el problema de que puede exponer los datos de navegación del usuario, y Por ello se están buscando nuevas formas de proteger la privacidad de los internautas, siendo una de ellas el protocolo DNS mediante HTTPS.
Cuando un usuario accede a una página web a través de un navegador, este último accede a un servidor DNS, que cuenta con una base de datos de nombres de dominio en redes, para conocer la dirección IP (que tiene todo equipo conectado a Internet) de esta, ya que así se ahorra que el usuario tenga que teclear el código numérico que la identifica.
MÁS
A pesar de que este sistema se ha utilizado durante más de 35 años, este protocolo, que sigue siendo fundamental en Internet, no tiene ningún nivel de encriptación, lo que facilita que terceros puedan acceder al historial de navegación de los usuarios, como alertó la Asociación Española de Protección de Datos (AEPD) en noviembre de 2019.
Entonces, la AEPD publicó un documento técnico, en el que explicaba los peligros de protección de datos que puede ocasionar el protocolo DNS, y señaló el DNS mediante HTTPS como la solución a esta brecha de seguridad.
DNS mediante HTTPS
DNS mediante HTTPS, también conocido como DoH, es un protocolo de seguridad para realizar una resolución remota del DNS mediante el protocolo seguro de transferencia de hipertexto (HTTPS), que encripta las transferencias de información en la Web.
Fue el Grupo de Trabajo de Ingeniería de Internet (IETF), que regula los estándares y propuestas de Internet, el que lanzó este nuevo estándar en mayo de 2017, que permite habilitar el protocolo DNS a través de conexiones HTTPS, la versión más segura de HTTP.
Como explican desde Heimsdal Security, la mayoría de las redes utilizan DNS mediante comunicaciones HTTP, haciéndolas vulnerables a posibles ciberataques, ya que antes las consultas DNS se realizaban en texto sin formato.
Lo más beneficioso de este nuevo protocolo HTTPS es que las consultas pasan a estar cifradas y se disfrazan de tráfico HTTPS normal. Esto se debe a que el DoH encripta las peticiones del navegador, y este difiere la información para que un actor externo no sea capaz de dar sentido a los datos.
A pesar de que este protocolo se lanzó en 2017, su implementación ha sido lenta y en la actualidad solamente la utilizan unos cuantos navegadores. Firefox Mozilla ha sido el primero en empezar a implementarlo de manera predeterminada, aunque de momento solo haya sido en Estados Unidos. Por su lado, Google también ha hecho pruebas de implementación de este protocolo, aunque solamente al uno por ciento de los usuarios de Chrome.
Los expertos lo ponen en duda
A pesar de que este protocolo se haya diseñado para ofrecer una navegación más segura, la implementación de DoH ha generado dudas entre los expertos de DNS y 'software'.
Como explican desde los responsables del escáner de seguridad de aplicaciones web en línea Netsparker, a pesar de que DoH evita que el proveedor de servicios de Internet (ISP) rastree las solicitudes DNS de los usuarios, existen otros protocolos involucrados en la navegación que pueden dar esta información a un ciberdelincuente.
Otro de los problemas que conlleva esta implementación es la centralización de la infraestructura de Internet, como recoge la organización a favor de los derechos en el mundo digital Electronic Frontier Foundation (EFF). Esta actualización de protocolo provocaría que los navegadores usasen automáticamente los proveedores DNS elegidos específicamente por las compañías.
EFF declaró que "los navegadores deben ser transparentes sobre quién tiene acceso a los datos de las peticiones DNS y dar a los usuarios la oportunidad de elegir su propio resolvedor".
Incluso, expertos como el director de TaosSecurity, Richard Bejtlich, han sugerido utilizar en su lugar el protocolo DNS mediante TLS (Seguridad de la Capa de Transporte). Este protocolo, también conocido como DoT, es bastante similar al DoH salvo por algunos aspectos.
Como explica Heimdal Security, ambos sistemas cifran sus comunicaciones DNS, sin embargo utilizan un puerto diferente para la encriptación. DoT puede proteger los datos incluso de los administradores, por lo que muchos lo ven, incluso, como mejor opción ante la protección de los derechos humanos.
Cómo afecta a las organizaciones
Uno de los aspectos más comentados sobre DoH ha sido su capacidad para esquivar la censura. Gracias a su encriptación consigue evitar listas de bloqueo basadas en DNS implantadas por gobiernos opresivos para que los ciudadanos no accedan a contenidos políticos vetados.
El problema es que DoH también elude los 'firewalls' de los gobiernos establecidas de forma legítima, como los impuestos para bloquear pornografía infantil o terrorismo, lo que ha llevado a que algunos gobiernos y organizaciones muestren su contrariedad.
En un artículo publicado por el Instituto SANS, organización especializada en seguridad cibernética, sobre DoH, los investigadores señalaron que "el uso ilimitado de DNS encriptado, particularmente DoH, podría permitir a los atacantes y expertos eludir los controles organizacionales".
La Asociación de Provedorees de Servicios de Internet de Reino Unido incluso nominó a Mozilla para el premio de 'Villano de Internet 2019' debido a sus planes con DoH. Por su lado, el Comité Judicial de la Cámara de Estados Unidos inició en septiembre una investigación sobre los planes de Google para habilitar DoH, debido a la centralización que promovería y cerraría a muchos IPS el acceso a los datos de navegación de muchos usuarios.