Internet va camino de ser cada vez más seguro. Las webs HTTP están desapareciendo, y cada vez más son las que son HTTPS, cifrando nuestras conexiones entre nuestros dispositivos y el servidor que las recibe (o envía). Sin embargo, las DNS siguen resolviéndose de manera insegura si usas las de tu operador o cualesquiera, ya que las peticiones van en texto plano, lo cual permite a los operadores bloquear algunas webs como The Pirate Bay. Con DNS por HTTPS eso cambiará, pero también habrá un importante cambio de poder en favor de empresas como Google.

DNS por HTTPS: la solución a muchos problemas de privacidad

El cifrado está presente en nuestro día a día, incluyendo en nuestras contraseñas, los mensajes que mandamos por apps de mensajería, o en las páginas web HTTPS que visitamos. Las DNS, sin embargo, siguen haciéndolo todo en texto plano. Cuando introducimos una URL, nuestro servidor de DNS nos resuelve la URL para acceder a ella, pero el servidor sabe en todo momento qué web visitamos al inspeccionar los paquetes, por lo que un operador, Google, Cloudflare o el propietario del servidor que usemos, puede saber qué páginas visitamos.

Y no sólo ellos, sino también nuestro operador, el gobierno, o cualquier persona en nuestra red WiFi, lo que puede llevar a un ataque de DNS Spoofing donde un atacante pueda cambiar las DNS y llevarnos a una página web que él quiera cuando introducimos una URL real, pudiendo robar todos nuestros datos si visitamos una web como PayPal que en realidad sea una página falsa controlada por él.

Google y Mozilla van a cifrar todas esas interacciones antes de 2020 con DNS-over-HTTPS, o DNS por HTTPS, en lugar de usar DNS por TLS, que es otro de los métodos seguros. DNS por TLS lo que hace es cifrar las solicitudes de DNS, pero lo hace en un canal individual con respecto al resto del tráfico. DNS por HTTPS, sin embargo, entremezcla las peticiones cifradas de DNS con todo el resto del tráfico HTTPS, de manera que ya ni siquiera se puede saber si el tipo de tráfico se refiere a una solicitud de DNS o proviene de cualquier otra app o servicio.

Para poder resolver las DNS, se necesita un resolutor compatible con ese tráfico cifrado. Mozilla lo va a hacer con Cloudflare, ya que sus DNS 1.1.1.1 ofrecen el servicio de DNS cifradas desde hace más de un año, además de eliminar los registros de DNS 24 horas después de que se produzcan. Tampoco comparten datos con terceros. Si por lo que fuera no te gusta ese resolutor, puedes usar cualquier otro. Google Chrome ofrecerá DNS por HTTPS con seis resolutores, entre los que encontramos Cloudflare o las propias DNS de Google, aunque podremos poner la que nosotros queramos fuera de ese listado. Incluso grandes corporaciones podrán crear sus propias DNS privadas.

Inconvenientes de DNS-over-HTTPS: ataques DDoS más difíciles de detectar

Sin embargo, esto provocaría la centralización de las resoluciones de DNS en unos pocos servicios, a diferencia de lo que ocurre actualmente donde por defecto se usa el de cada operador, habiendo cientos por todo el mundo. Además de esta limitación de opciones, los gobiernos, las autoridades y los operadores dejarán de poder saber qué hacemos en la red, aunque empresas como Google podrán seguir sabiéndolo si usamos sus DNS.

A diferencia de lo que ocurre con las apps de mensajería, donde los mensajes van cifrados de extremo a extremo, las peticiones de DNS se resuelven con un servidor que es propiedad de una compañía, por lo que esa compañía sabe qué estamos visitando.

A pesar de ello, la Electronic Frontier Foundation (EFF) afirma que las ventajas son mayores que los inconvenientes; sobre todo si empiezan a surgir más resolutores de DNS por HTTPS, animando a los propios operadores a hacerlo. Para ello, los operadores tendrían que firmar unas condiciones en las que garanticen la privacidad de los usuarios, lo que impediría a gobiernos y autoridades conocer nuestros datos de navegación.

Y es probable que no quieran firmarlo porque ellos obtienen beneficios a través de esos datos, además de poder ofrecer servicios como control parental con el que se filtran diversas webs. Tampoco podrán aplicarse bloqueos de páginas web de piratería, pero tampoco de otras webs que sean declaradas ilegales. Tendremos que confiar en herramientas como Safe Browsing de Chrome.

Otro de los inconvenientes que puede generar el uso masivo de DNS-over-HTTPS es que será mucho más difícil identificar el origen de un posible ataque DDoS contra la infraestructura de un resolutor, además de hacer más difícil identificar dispositivos comprometidos. Si un atacante consigue tomar el control de unas DNS, tampoco se podría detectar de manera externa. Actualmente el proceso de implementación de DNS por HTTPS está en fase experimental en Firefox y Chrome, además de poder evitar usarlo actualmente si así lo queremos.

Por tanto, lo que implicará este cambio es que serán las grandes empresas tecnológicas, como Google, Cloudflare o cualesquiera que lancen DNS cifradas, las que tendrán todo el poder y el conocimiento del historial de navegación de los usuarios, en lugar de ser los operadores como ocurre hasta ahora. Cuando un juez pide a un operador el historial de navegación de un usuario, el operador está obligado a dárselo. Ahora esa petición debería hacerse a empresas como Google o Cloudflare, pero con esta última será muy difícil porque al eliminar los registros 24 horas después, no habrá manera de acceder a ese historial por nadie.

Al igual que ocurre con los servicios de mensajería, que usan cifrado de extremo a extremo, este es un simple paso más para proteger la privacidad de los usuarios en una época donde todo es susceptible de ser espiado o hackeado.