DoH, el último paso para garantizar la privacidad en la web

Leturia Azkarate, Igor

Informatikaria eta ikertzailea

Elhuyar Hizkuntza eta Teknologia

Con el objetivo de garantizar la privacidad y seguridad de los usuarios en las actividades de la web, los principales agentes de la red han introducido en los últimos años una serie de cambios. El último paso en este camino es establecer la confidencialidad en las solicitudes que realiza el sistema DNS, fomentando que las solicitudes se realicen a través del protocolo seguro HTTPS a través de la tecnología llamada DoH.
doh-webean-pribatutasuna-bermatzeko-azken-pausoa
Ed. Gerd Altmann/Pixabay

En un artículo escrito en este apartado hace casi cinco años (concretamente en enero de 2015), se contaba cómo los principales agentes de la web estaban tomando medidas para que nadie pudiera espiar la actividad de los usuarios. Como allí se indicaba, se acababa de presentar una nueva versión del protocolo HTTP/2 en la que la navegación se realiza siempre que sea posible sobre HTTPS (toda la comunicación va cifrada en el protocolo HTTPS). Todos los navegadores web ya habían implementado el protocolo HTTP/2 para finales de 2015.

En dicho artículo también se informaba del emisor de certificados Let’s Encrypt, de próxima creación, que promoviera el uso de HTTPS en los servidores web. Esta iniciativa permitiría por primera vez a los servidores web obtener y renovar los certificados digitales de forma gratuita y sencilla. El servicio se puso en marcha en abril de 2016 y creo que se ha ampliado mucho.

Sin embargo, aún cuando las comunicaciones con una web se realizan íntegramente a través de HTTPS, existe otro complemento muy importante y necesario de la navegación web, que por el momento no cuenta con medidas de seguridad y privacidad, y que nos deja indefensos ante el espionaje y las trampas: Sistema DNS.

¿Qué es el sistema DNS?

DNS significa Domain Name System, es decir, el sistema de nombres de dominio. Los nombres de dominio son nombres utilizados por los seres humanos para identificar los servicios y páginas web: www.google.com, www.berria.eus... Sin embargo, los servidores web se identifican y localizan en Internet a través de una dirección IP como 172.217.4 o 145.239.192.54. Por tanto, para que un navegador web pueda acceder a una página web es necesario que sepa previamente la dirección IP a la que pertenece el nombre de dominio solicitado. Y para eso es el sistema DNS.

DNS es uno de los servicios de Internet. Y se trata de un servicio distribuido, en el que algunos servidores tienen información de unos dominios y otros de otros. Nuestro ordenador realiza la primera solicitud a un resolutor de DNS, quien canaliza las solicitudes a otros servidores hasta obtener la dirección IP correspondiente al nombre de dominio.

Problemas del protocolo DNS

El protocolo DNS es anterior a la web en 1983 y apenas ha sufrido cambios o actualizaciones de seguridad importantes desde entonces. Las solicitudes y respuestas de DNS no van cifradas, lo que conlleva riesgos de seguridad y falta de privacidad.

Por un lado, nuestro proveedor de servicios de Internet, el propietario del WiFi al que nos hemos conectado, así como todos los servidores y routers intermedios que atraviesan la ruta de peticiones y respuestas de DNS, ven la solicitud de DNS que estamos realizando y por tanto la web que queremos visitar. Esto se puede aprovechar, por ejemplo, para hacer un perfil de nuestras preferencias y venderlo a empresas de publicidad.

Por otro lado, cualquier persona en curso puede modificar la dirección IP de la respuesta y enviarla a una página innecesaria. Así, cuando solicitamos la visita a la web de nuestro banco o proveedor de correo, nos pueden dirigir a una página web maliciosa del mismo aspecto y robar nuestros datos. O si estamos en un gran punto de venta y queremos aprovechar el teléfono para ver si un producto tiene menos coste la competencia, si nos conectamos a través del WiFi del punto de venta, nos pueden decir que la web de la competencia no funciona. A pesar de que estos casos son algo extremos y no tan habituales, esta misma modificación de la respuesta de DNS se aprovecha para la censura; recientemente, por ejemplo, para cerrar las páginas web de Tsunami Democràtic. Se encarga a los proveedores de Internet que redireccionen las solicitudes a estos dominios a otra dirección IP en la que se muestra una página web que indica que se ha cerrado dicha web.

Solución DoH

La solución puede ser DoH (DNS over HTTPS), la tecnología que realiza las peticiones y respuestas de DNS a través del protocolo cifrado HTTPS. Así, al estar los mensajes cifrados, los implicados no pueden ver qué dominio queremos visitar y cambiar la dirección IP de respuesta.

Los principales navegadores web ya lo han implementado. Firefox hace más de un año pero no por defecto, debemos activarlo manualmente. El navegador Chrome de Google también lo permite desde septiembre de este año y Android desde la versión 9.

Incluso algunos resolutores de DNS ya lo han implementado, como la conocida empresa Cloudflare, que es la que utiliza Firefox por defecto. Chrome, por su parte, utiliza un resolutor DoH que ofrece Google.

¿Realmente es la solución?

DoH está teniendo difusión pero no todo el mundo lo ve bien. También está recibiendo críticas y ha suscitado más de una polémica.

Por un lado, dicen que con DoH nada garantiza que el resolutor de DNS no haga el perfil de nuestra navegación y lo vende a las empresas de publicidad y tienen razón, en este caso habría que llamarle DNS ebasle (perdona, chiste ;-). Pero eso es algo que nunca se podrá evitar, siempre tendremos que confiar en el dance.

Por otro lado, hasta el momento todos los servicios de Internet han utilizado un resolutor de DNS definido para todos a nivel de sistema operativo de ordenador. En las redes domésticas, nuestro proveedor de servicios de Internet suele ser el resolutor definido en el router y en las de empresa, el definido por los administradores del sistema. Ellos pueden colocar filtros en los resolutores de DNS o en el propio router para evitar el acceso a diferentes lugares. El software utilizado para restringir las páginas web en las que nuestros hijos pueden navegar también utiliza el sistema DNS, así como antivirus y cortafuegos que evitan webs maliciosas. No pueden hacerlo si el navegador web sustituye el DNS del sistema por un resolutor DoH.

Por último, el sistema DoH evita la censura antes mencionada. Puedes comprobarlo fácilmente: Activa DoH en los ajustes de Firefox y podrás ver sin problemas la web de Tsunami Democràtic. Y, por supuesto, los gobiernos no les gusta eso...

A la vista de las críticas de empresas, proveedores de conexión a Internet, fabricantes de software y gobiernos, Mozilla ha afirmado que Firefox comprobará si existe un filtro empresarial o parental instalado en la red o en el sistema y que en ese caso no utilizará DoH. Añade que en algunos países no priorizará DoH hasta que se acuerde cómo aceptar los posibles bloqueos de gobierno. Pero, ¿cómo decidirá qué países son legítimos los bloqueos de gobierno y cuáles son la censura? ¿Sólo en China, Turquía, etc. pondrá DoH para evitar la censura? ¿Y en España y en Francia? Al final, entre otras cosas, Mozilla abre el camino para que el sistema creado para evitar la censura sea aceptado en algunos casos.

A la vista de todo ello, está claro que cuando en el título hemos dicho que DNS over HTTPS es el último paso para garantizar la privacidad en la web, que quiere decir lo último y que no será más que necesario... Este tema de la seguridad y la privacidad en la web todavía traerá una larga cuerda.

Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila