En los últimos dos años hemos asistido a una carrera por que las páginas web cambien a HTTPS, implementando cifrado en las conexiones con los usuarios. Gracias a ello, no se puede espiar el tráfico intermedio y se evitan ataques man-in-the-middle y otro tipo de ataques. Ahora, la seguridad está llegando también a los DNS con DNS-over-HTTPS, y los operadores se están quejando porque ahora podrán espiar menos y su criterio tendrá menos importancia.

DNS-over-HTTPS: el debate de los operadores sobre si es mejor privacidad o control

Firefox implementó DNS-over-HTTPS el pasado mes de noviembre en versiones preliminares, y Google ha hecho lo propio con sus DNS hace una semana. Gracias a ello, los operadores ya no pueden espiar nuestro historial de navegación, además de que las resoluciones de DNS se hacen más rápido, lo que hace que la latencia disminuya.

Esta implementación de DNS-over-HTTPS es el motivo que ha llevado a la asociación de operadores británicos a nombrar a Mozilla como el «Villano del año en Internet» por encima de a Trump y el artículo 13,, ya que ello permitirá a cualquier persona a saltarse el bloqueo que haya en las páginas de Reino Unido, así como el control parental, lo que según dicen «afecta negativamente a los estándares de seguridad del Reino Unido».

Mozilla y Google llevan meses recibiendo críticas del gobierno británico y de diversos grupos de presión debido a la implementación de este protocolo. Conocido como DNS por HTTPS, el protocolo IETF RFC8484 envía las solicitudes de DNS a través de una conexión HTTPS cifrada en lugar de utilizar UDP como las DNS clásicas, lo cual hace que no puedan interceptarse por el camino.

Estas solicitudes cifradas a través de DNS se hacen a nivel de app y no del sistema operativo. De esa manera, incluso aunque tengamos las DNS de nuestro operador en el sistema operativo, en realidad estaremos usando las de Mozilla cuando naveguemos por Firefox. Nadie puede conocer las solicitudes que hagamos a través del navegador; ni siquiera nuestro operador.

El bloqueo de los operadores ya no servirá de nada

En Reino Unido, al igual que en España, los operadores están obligados a bloquear el acceso a determinadas webs si así lo determina un juez, como es el caso de las relacionadas con descargar torrent. Además, otros operadores bloquean web bajo su criterio en Reino Unido, como aquellas relacionadas con contenido extremista, imágenes para adultos, etc. Estos bloqueos se hacen a través de filtrar paquetes en texto plano, y al ir cifrados, ya no pueden distinguirlo de otro tipo de tráfico.

La Internet Watch Foundation (IWF) ha llegado incluso a acusar a Google y a Mozilla de estar echando por tierra todo su trabajo de años en proteger a los usuarios de Internet ante contenido relacionado con abusos a menores, facilitando el acceso a contenido ilegal con este nuevo método.

Este tipo de críticas se extienden a todo el cifrado en general, ya que protege a millones de usuarios, pero también permite a unos pocos llevar a cabo actividades delictivas, como es el caso de Telegram cifrando todos los mensajes y no dando acceso a las claves de cifrado a nadie, motivo por el cual el ISIS lo usa para comunicarse.

De momento, Firefox y Chrome están trabajando para implementar DNS-over-HTTPS en todo el navegador en sus versiones preliminares, y la función debería llegar a todos los usuarios en los próximos meses.