El práctico sistema de nombres de dominio o domain name system (DNS) nos permite navegar cómodamente por Internet: si no existiera, tendríamos que escribir la dirección IP numérica en el navegador cada vez que quisiéramos visitar una página web. En cambio, gracias al DNS, basta con escribir el URL de la página, que suele ser fácil de recordar. Sin embargo, hasta ahora, la comodidad ha ido a expensas de la seguridad. El protocolo DNS over TLS (DoT) podría reducir en gran medida los riesgos que conlleva navegar por Internet. ¿Cómo funciona esta tecnología?
El concepto del sistema de nombres de dominio es muy práctico, pero se concibió en un momento en que Internet no estaba tan extendido y la seguridad no generaba tanta preocupación. El funcionamiento del DNS se basa en que el cliente (por ejemplo, un ordenador de mesa) solicita a un servidor de nombres la dirección IP correspondiente al dominio que ha introducido el usuario. Si la IP ya no está guardada en caché en el navegador, el ordenador o el rúter, debe solicitarse por Internet. Los ataques se producen durante el proceso de comunicación entre el cliente y el servidor DNS, porque casi todo el intercambio de datos se lleva a cabo sin cifrar.
Por lo tanto, para los ciberdelincuentes, es muy fácil observar o manipular la comunicación entre los participantes, por ejemplo, interceptando una solicitud y devolviendo una respuesta fraudulenta. Esta técnica se conoce como DNS hijacking y redirige al usuario a una página ilegítima, donde, en el mejor de los casos, se le acosa con una avalancha de publicidad y, en el peor, se infecta su dispositivo con malware o es víctima de un ataque de phishing que termina con el robo de sus datos más confidenciales.
También los gobiernos y los proveedores de Internet aprovechan los puntos débiles del DNS para exponer al usuario a más publicidad o impedir el acceso a ciertas páginas web, ya sea para hacer cumplir la legislación de Internet del país o para aplicar medidas de censura. En este sentido, las conexiones cifradas con DoT pueden ayudar a protegerse de estas actividades tanto como de los ataques informáticos.
Al protocolo DNS over TLS lo impulsa el Grupo de Trabajo de Ingeniería de Internet (IETF, del inglés Internet Engineering Task Force), que definió esta tecnología en el RFC 7858.
El protocolo de seguridad de la capa de transporte (TLS, del ingléstransport layer security) funciona en la capa superior de la pila de protocolos TCP/IP, por lo que es una parte integral de Internet y de muchas otras redes. En este protocolo se basa el sistema HTTPS, que, de esta manera, proporciona un intercambio de datos más seguro entre el cliente y el servidor web. En el futuro, se espera que el TLS también aumente la seguridad de la comunicación en el DNS.
Con el DNS over TLS, los datos se transfieren por un túnel encriptado. Solo los dos participantes del intercambio pueden descifrar y procesar los datos, lo que imposibilita unataque man in the middle, ya que los datos se transmiten a través de conexiones TCP simples y el puerto estandarizado 853, por lo que son inaccesibles para los atacantes. En otras palabras, DoT utiliza un puerto independiente que solo está destinado al intercambio de información de dominio.
En cualquier caso, esta tecnología debe ser compatible tanto del lado del servidor como del cliente para ser funcional. Actualmente, hay varios proveedores de Internet que proporcionan los correspondientes servidores DNS. Para poder acceder a ellos con el ordenador de mesa o portátil, debes instalar el software adecuado. Existen diversas soluciones para Windows y Linux, mientras que los smartphones con la última versión de Android ya son compatibles con DNS over TLS.
TLS aún se suele conocer bajo el nombre de SSL. No obstante, estas siglas se refieren al protocolo de capa de conexión segura (en inglés, secure sockets layer), que ya está en desuso.
Como el sistema de nombres de dominio clásico no ofrece ninguna medida de seguridad, cuesta encontrar alguna pega al DoT. El cifrado del intercambio de los datos evita, tanto que los ciberdelincuentes puedan interceptarlos, como que los gobiernos pongan en práctica medidas de censura, al menos en teoría. No obstante, muchos expertos en protección de datos critican el DNS over TLS por utilizar un único puerto y consideran un problema que se puedan reconocer las solicitudes de DNS, aunque no se pueda saber a qué páginas se refieren. Por su parte, muchos administradores de red opinan que este paso es importante para obtener una mejor visión general de las actividades en Internet.
Actualmente, la falta de difusión del DNS over TLS también supone un problema. Aparte de Android 9, en todos los demás sistemas operativos debe instalarse un software adicional para utilizarlo. Además, esta tecnología tampoco está tan extendida (todavía) del lado del servidor: hay algunos proveedores que la ofrecen, pero el número queda muy por debajo de los que proporcionan el DNS clásico. Por todo ello, a algunos expertos les preocupa que se genere un monopolio: hoy por hoy, los proveedores de Internet ofrecen gran parte de los servidores de nombres, pero en el futuro otras empresas ―muchas menos a nivel internacional― podrían aglomerar las solicitudes de DNS.
Además del DoT, actualmente se habla mucho de otra tecnología que puede aumentar la seguridad de la resolución de nombres: DNS over HTTPS (DoH). Ambas soluciones tienen en común que cifran el intercambio de datos, pero su mayor diferencia radica en el puerto que utilizan para ello. Esta aparente nimiedad ha creado una profunda brecha de opinión entre los expertos: mientras que el DNS over TLS utiliza su propio puerto, DoH recurre al puerto 443, que también se emplea en el resto de conexiones HTTPS, como las visitas a las páginas web. Esto implica que las solicitudes de DNS no se puedan distinguir del resto del tráfico de Internet.
Desde el punto de vista de la protección de datos, lo anterior representa una ventaja: si la solicitud del DNS no se reconoce, no es posible manipularla. Sin embargo, algunos administradores de red temen la pérdida de control del tráfico de la red y, por lo tanto, la incapacidad de gestionar correctamente las comunicaciones.
De esta manera, se han formado dos bandos que quieren generalizar el uso de su propia solución. Detrás del DoT está principalmente el IETF, un consorcio que se ocupa del desarrollo de la red. El IETF crea estándares que, en muchos casos, acaban siendo adoptados por muchos grupos de interés de Internet. Por el otro lado, muchas empresas y organizaciones apoyan el DNS over HTTPS, como Google y la Fundación Mozilla.
Algunos sistemas operativos como Windows o macOS almacenan automáticamente la información sobre la resolución de direcciones de Internet y aplicaciones en redes en la llamada caché del DNS. El propósito de esta caché es mejorar la velocidad del tráfico de red. Sin embargo, es necesario realizar una limpieza de caché de vez en cuando. A continuación, explicamos por qué es recomendable y cómo...
Sin el sistema de nombres de dominio, Internet sería inconcebible tal y como lo conocemos. En los registros DNS se basa, a su vez, el sistema de resolución de nombres. En estos registros de sencilla estructura y en formato de texto normal se guarda un nombre para cada dirección IP, pero los registros DNS pueden hacer mucho más, y es que estos también llamados resource records (registros de...
Configurar diferentes dispositivos en una red doméstica o empresarial pequeña puede llevar mucho tiempo, ya que todos los participantes de la red deben poder comunicarse entre sí y, por lo tanto, conocer los datos de los demás. El multicast DNS (mDNS) ayuda a minimizar el esfuerzo que puede conllevar este proceso, porque facilita la configuración de redes locales que no disponen de un servidor de...
El Internet de hoy en día no se concibe sin sofisticados mecanismos de seguridad. El cifrado es necesario para impedir que terceros no autorizados puedan acceder a nuestra información e incluso manipularla. Ahí es donde entra en juego el TLS, siglas en inglés de Transport Layer Security. Sigue leyendo para conocer en detalle este componente tan esencial del Internet actual.
El DNS spoofing consiste en manipular la resolución de nombres de dominio (DNS), por lo que representa una amenaza seria para los usuarios de internet. Descubre en qué consisten las diferentes variantes de este tipo de ataque, qué pretenden los ciberdelincuentes con ellas y qué medidas puedes tomar para protegerte eficazmente.
Ofrece un servicio fiable y de alto rendimiento a tus clientes con un pack hosting de IONOS.
Ver planes
