La solución de Apple y Cloudflare para solucionar el gran problema de cómo funcionan las DNS: la privacidad

Bárbara Bécares

Cada vez que los usuarios visitan un sitio en Internet, el navegador utiliza un resolutor deDNS para convertir las direcciones web en direcciones IP legiblespor máquinas. Así se puede localizar dónde se encuentra una página web en Internet. Pero este procesono está encriptado, lo que significa que cada vez que alguien carga una página web la información se envía al operador del servicio.

Ingenieros de Apple y Cloudflare se han unido para solventar este problema que hace quelos operadores siempre puedan llegar a saber qué páginas visitan sus usuarios. Cloudflare ha propuesto un nuevo estándar de DNS. Se ha bautizado comoprotocolo Oblivious DNS mediante HTTPS(ODoH u Oblivious DNS over HTTPS). Está diseñado para ayudar a anonimizar la información que se envía incluso antes de que el usuario llegue a un sitio web.

La nueva propuesta de estándar DNSsepara las direcciones IP de las consultas del usuario, para que ninguna entidad o posible atacante pueda ver ambas al mismo tiempo. Además, los ingenieros han puesto el código fuente de este nuevo estándar a disposición de quien lo quiera, para que cualquiera pueda probar ODoH, o ejecutar su propio servicio ODoH,según ellos mismos han publicado.

Hay que recordar que losservidores DNS (Sistema de Nombres de Dominio)son una de las tecnologías imprescindibles para la navegación por Internet, y suelen venir preconfiguradas en los routers que proporcionan las operadoras.

El hecho de que no se encripteparte del proceso de acceso a una página de Internet puede dar problemas de seguridaddeja al usuario y su navegación más expuesto a ataques y de privacidad, ya que el operador se entera de todas las visitas.TechCrunchrecuerda que muchas veces las empresas operadoras venden a los anunciantes el historial de navegación de sus clientes.

¿Qué diferencia hay entre DNS mediante HTTPS y el nuevo ODoH?

Para proteger el DNS de terceros, la IETF (la organización internacional Internet Engineering Task Force) estandarizó la encriptación del DNS con latecnología DNS mediante HTTPS(DoH por sus siglas en inglés) y también DNS over TLS (DoT). Ambos protocolos están hechos para evitar que las consultas sean interceptadas o redirigidas.

Los DNS realizan la conversión de letras a IP en texto plano y sin proteger. Esto hace quela navegación esté expuesta y que un proveedor de Internet o ISP, que da al usuario el router con un DNS preconfigurado, pueda saber siempre cuál es la IP y quién es exactamente.

El protocolo DNS mediante HTTPS, que como su propiamente indica, realiza las resoluciones del sistema DNS a través del protocolo HTTPS,aporta un cifrado y evita que las conversiones se realicen en texto plano. Esto hace más difícil para atacantes secuestrar las consultas DNS y llegar a dirigir a las víctimas a sitios web maliciosos en lugar del sitio web real que querían visitar. Pero eso no impide que los resolutores de DNS vean qué sitio web el usuario está tratando de visitar.

Cloudflare encontró en esa tecnología que el llamado ‘resolver’ en inglés (servidor de Internet que convierte los nombres del dominio en direcciones IP)podían seguir vinculando todas las consultas a las direcciones IPde los clientes.

Y ahí es dondeaparece el protocolo Oblivious DNS mediante HTTPS, hecho de la mano de ingenieros de Apple. Este modelodesvincula completamente el proxy del cliente de los resolutores, por primera vez.

Ahora Cloudflare dice que el siguiente paso es el de trasladar este estándar al IETF y buscar más operadores que se unan a esta tecnología y ofrezcan compatibilidades para el protocolo, ya sea ejecutando servidores proxy o de destino.