El Sistema de Nombres de Dominio (DNS) es la agenda telefónica de Internet. Cuando las personas usan la web, no escriben la dirección IP del sitio web que quieren visitar. En su lugar, utilizan un nombre de dominio, como www.google.com.
El trabajo del DNS es convertir este nombre de dominio en una dirección IP que una computadora pueda utilizar. Para lograr esto, se realiza una serie de consultas a los servidores DNS.
Los servidores DNS están organizados en una jerarquía, por lo que una computadora puede hacer varias solicitudes diferentes a diferentes servidores. Cada solicitud contendrá más información sobre el sitio que el usuario desea visitar.
El problema es que DNS envía estas solicitudes en texto sin cifrar. Cualquiera que pueda interceptar o escuchar el tráfico de la red puede ver los sitios web que alguien intenta visitar.
DNS sobre HTTPS (DoH) intenta solucionar este problema. HTTPS utiliza tráfico web cifrado y es lo que ocurre cuando ves el ícono de candado en la barra de direcciones de tu navegador. Al colocar las solicitudes y respuestas de DNS dentro de paquetes HTTPS, DoH protege el tráfico DNS de los que escuchan.
DoH ha estado en las noticias recientemente porque varios navegadores, incluidos Firefox y Chrome, ahora lo están convirtiendo en una opción en sus navegadores.
Sin embargo, el uso de DoH es un tema muy controvertido.
Lógicamente, parece que DoH sería algo positivo. Está diseñado para aumentar la privacidad de los usuarios de Internet asegurando que nadie pueda espiar a dónde van en Internet.
Sin embargo, proporcionar privacidad para algunas personas significa proporcionar privacidad para todos. Monitorear las solicitudes de DNS es un método estándar para detectar malware en una computadora. También se puede utilizar para rastrear visitas a sitios web ilegales o poco éticos.
Con la introducción de DoH, estas aplicaciones positivas de escuchar el tráfico de DNS ya no serán posibles.
DoH tiene la intención de proteger la privacidad de los usuarios al cifrar sus solicitudes de DNS. Dado que estas solicitudes pueden decirle a un intruso a dónde está navegando el usuario, esto es útil para la seguridad.
Si bien DoH no es el enfoque más eficiente para esto, sí cifra eficazmente las solicitudes de DNS.
Sin embargo, el impacto de DoH tiene un efecto insignificante en la seguridad del usuario. La información que DoH protege también se filtra de varias maneras.
Una vez que se completa la solicitud de DNS, el usuario visitará el sitio de destino utilizando un navegador web. Si la solicitud se realiza mediante HTTP, toda la comunicación será sin cifrar y cualquiera podrá leerla.
Si la solicitud se realiza mediante HTTPS, un campo llamado Indicación del Nombre del Servidor (SNI) se deja sin cifrar en el tráfico. Este campo contiene el nombre de dominio del sitio de destino, la misma información que DoH cifra en el tráfico DoH.
Finalmente, la dirección IP de destino debe dejarse sin cifrar independientemente de la implementación. Aligual que una dirección postal, los enrutadores a lo largo del camino necesitan esta información para llevar el tráfico a su destino.
Se ha descubierto que, en el 95% de los casos, la dirección IP es suficiente para determinar el sitio que un usuario está visitando.
Si bien DoH ayuda a proteger la información confidencial contenida en el tráfico DNS, no ayuda al usuario. La misma información se filtra de varias maneras.
El único impacto positivo sería si el intruso solo pudiera ver el tráfico DNS del usuario. Si bien esto es posible, DoH se promociona principalmente como protección contra el espionaje de los ISP, y un ISP lo ve todo.
DNS sobre HTTPS está diseñado para mejorar la privacidad de los usuarios finales. Sin embargo, tiene un impacto significativo en la ciberseguridad del lugar donde trabajan.
Uno de estos impactos es más centrado en la tecnología. La mayoría de los servidores DNS no admiten DoH, por lo que el tráfico DoH se dirige a «resolvers» especializados. El tráfico DNS de una organización puede dividirse entre dos infraestructuras diferentes (DNS puro vs. DoH).
Este modelo dividido no es la mejor práctica para el diseño de software.
El otro impacto importante de DoH en las empresas es que rompe la mayoría de las herramientas de ciberseguridad. Muchas compañías monitorean el tráfico DNS para proteger a sus empleados. El filtrado de tráfico basado en DNS busca:
Usando DoH, los empleados pueden eludir estas protecciones.
Si bien esto puede beneficiarlos al permitirles acceder a contenido restringido, también los expone a visitar sitios de phishing y con malware. Como resultado, las empresas tendrán más dificultades para identificar y protegerse contra el malware en sus redes.
Uno de los principales puntos de venta de DoH para los usuarios potenciales es la capacidad de ocultar las solicitudes de DNS a los ISP. Un ISP puede monitorear el tráfico DNS de un usuario con diversos propósitos. Algunos de estos son positivos, mientras que otros son negativos.
Los beneficios positivos del monitoreo de tráfico DNS por parte de un ISP son los mismos que el monitoreo empresarial. Estos sistemas están diseñados para identificar (y posiblemente bloquear) solicitudes relacionadas con malware y material ilegal.
Por ejemplo, el Reino Unido tenía la intención de utilizar el monitoreo DNS para asegurarse de que los visitantes de páginas con contenido para adultos fueran mayores de 18 años. La protección contra malware y la prevención de actividades ilegales generalmente se consideran un impacto positivo del monitoreo DNS.
Los ISP también pueden abusar de su poder sobre la conexión a Internet del usuario. El ISP puede recopilar y monetizar datos sobre los hábitos de navegación del usuario. Los programas de censura, como el Gran Cortafuegos de China, también se implementan mediante la cooperación de los ISP.
La implementación de DoH tendrá poco o ningún impacto en la capacidad de un ISP para monitorear el tráfico de los usuarios. Sin embargo, los impactos de DoH en los ISP son puramente teóricos. Dado que un ISP tiene acceso completo a la conexión a Internet del usuario, pueden recopilar los datos protegidos por DoH de otras maneras.
Aunque DoH tiene buenas intenciones, hace poco para ayudar al usuario y tiene impactos negativos significativos.
La misma información que DoH protege se filtra de varias otras maneras, y los usuarios estarían mejor utilizando otras soluciones, como VPNs o la red Tor, para proteger su privacidad.
Por otro lado, DoH dificulta que las organizaciones implementen usos legítimos del monitoreo de DNS.
La implementación de DoH también es problemática. Centraliza la infraestructura de DNS en unos pocos «resolvers», lo que facilita que un espía con acceso a un resolver recopile datos.
Esto también aumenta la complejidad de la infraestructura de las organizaciones, ya que deben implementar una infraestructura dividida de DNS.
Aunque DNS cuenta con un gran apoyo de Google y Firefox, crea más problemas de los que resuelve. Al igual que DNSSEC y DNS sobre TLS (DoT), otras soluciones resuelven el mismo problema de manera más eficiente y efectiva.