DNS over TLS: un protocolo más seguro

El práctico sistema de nombres de dominio o domain name system (DNS) nos permite navegar cómodamente por Internet: si no existiera, tendríamos que escribir la dirección IP numérica en el navegador cada vez que quisiéramos visitar una página web. En cambio, gracias al DNS, basta con escribir el URL de la página, que suele ser fácil de recordar. Sin embargo, hasta ahora, la comodidad ha ido a expensas de la seguridad. El protocolo DNS over TLS (DoT) podría reducir en gran medida los riesgos que conlleva navegar por Internet. ¿Cómo funciona esta tecnología?

El concepto del sistema de nombres de dominio es muy práctico, pero se concibió en un momento en que Internet no estaba tan extendido y la seguridad no generaba tanta preocupación. El funcionamiento del DNS se basa en que el cliente (por ejemplo, un ordenador de mesa) solicita a un servidor de nombres la dirección IP correspondiente al dominio que ha introducido el usuario. Si la IP ya no está guardada en caché en el navegador, el ordenador o el rúter, debe solicitarse por Internet. Los ataques se producen durante el proceso de comunicación entre el cliente y el servidor DNS, porque casi todo el intercambio de datos se lleva a cabo sin cifrar.

Por lo tanto, para los ciberdelincuentes, es muy fácil observar o manipular la comunicación entre los participantes, por ejemplo, interceptando una solicitud y devolviendo una respuesta fraudulenta. Esta técnica se conoce como DNS hijacking y redirige al usuario a una página ilegítima, donde, en el mejor de los casos, se le acosa con una avalancha de publicidad y, en el peor, se infecta su dispositivo con malware o es víctima de un ataque de phishing que termina con el robo de sus datos más confidenciales.

También los gobiernos y los proveedores de Internet aprovechan los puntos débiles del DNS para exponer al usuario a más publicidad o impedir el acceso a ciertas páginas web, ya sea para hacer cumplir la legislación de Internet del país o para aplicar medidas de censura. En este sentido, las conexiones cifradas con DoT pueden ayudar a protegerse de estas actividades tanto como de los ataques informáticos.

El protocolo de seguridad de la capa de transporte (TLS, del inglés transport layer security) funciona en la capa superior de la pila de protocolos TCP/IP, por lo que es una parte integral de Internet y de muchas otras redes. En este protocolo se basa el sistema HTTPS, que, de esta manera, proporciona un intercambio de datos más seguro entre el cliente y el servidor web. En el futuro, se espera que el TLS también aumente la seguridad de la comunicación en el DNS.

Con el DNS over TLS, los datos se transfieren por un túnel encriptado. Solo los dos participantes del intercambio pueden descifrar y procesar los datos, lo que imposibilita un ataque man in the middle, ya que los datos se transmiten a través de conexiones TCP simples y el puerto estandarizado 853, por lo que son inaccesibles para los atacantes. En otras palabras, DoT utiliza un puerto independiente que solo está destinado al intercambio de información de dominio.

En cualquier caso, esta tecnología debe ser compatible tanto del lado del servidor como del cliente para ser funcional. Actualmente, hay varios proveedores de Internet que proporcionan los correspondientes servidores DNS. Para poder acceder a ellos con el ordenador de mesa o portátil, debes instalar el software adecuado. Existen diversas soluciones para Windows y Linux, mientras que los smartphones con la última versión de Android ya son compatibles con DNS over TLS.

Como el sistema de nombres de dominio clásico no ofrece ninguna medida de seguridad, cuesta encontrar alguna pega al DoT. El cifrado del intercambio de los datos evita, tanto que los ciberdelincuentes puedan interceptarlos, como que los gobiernos pongan en práctica medidas de censura, al menos en teoría. No obstante, muchos expertos en protección de datos critican el DNS over TLS por utilizar un único puerto y consideran un problema que se puedan reconocer las solicitudes de DNS, aunque no se pueda saber a qué páginas se refieren. Por su parte, muchos administradores de red opinan que este paso es importante para obtener una mejor visión general de las actividades en Internet.

Actualmente, la falta de difusión del DNS over TLS también supone un problema. Aparte de Android 9, en todos los demás sistemas operativos debe instalarse un software adicional para utilizarlo. Además, esta tecnología tampoco está tan extendida (todavía) del lado del servidor: hay algunos proveedores que la ofrecen, pero el número queda muy por debajo de los que proporcionan el DNS clásico. Por todo ello, a algunos expertos les preocupa que se genere un monopolio: hoy por hoy, los proveedores de Internet ofrecen gran parte de los servidores de nombres, pero en el futuro otras empresas ―muchas menos a nivel internacional― podrían aglomerar las solicitudes de DNS.

Además del DoT, actualmente se habla mucho de otra tecnología que puede aumentar la seguridad de la resolución de nombres: DNS over HTTPS (DoH). Ambas soluciones tienen en común que cifran el intercambio de datos, pero su mayor diferencia radica en el puerto que utilizan para ello. Esta aparente nimiedad ha creado una profunda brecha de opinión entre los expertos: mientras que el DNS over TLS utiliza su propio puerto, DoH recurre al puerto 443, que también se emplea en el resto de conexiones HTTPS, como las visitas a las páginas web. Esto implica que las solicitudes de DNS no se puedan distinguir del resto del tráfico de Internet.

Desde el punto de vista de la protección de datos, lo anterior representa una ventaja: si la solicitud del DNS no se reconoce, no es posible manipularla. Sin embargo, algunos administradores de red temen la pérdida de control del tráfico de la red y, por lo tanto, la incapacidad de gestionar correctamente las comunicaciones.

De esta manera, se han formado dos bandos que quieren generalizar el uso de su propia solución. Detrás del DoT está principalmente el IETF, un consorcio que se ocupa del desarrollo de la red. El IETF crea estándares que, en muchos casos, acaban siendo adoptados por muchos grupos de interés de Internet. Por el otro lado, muchas empresas y organizaciones apoyan el DNS over HTTPS, como Google y la Fundación Mozilla.