DNS: el deseado “listín telefónico” de Internet

Seguridad

Dentro de Internet, el DNS —Domain Name System— es un elemento fundamental que resulta desconocido para la inmensa mayoría de los usuarios de servicios online. Nos habla de ello Juanjo Galán, Business Strategy de All4Sec.

Dentro de Internet, el DNS —Domain Name System— es un elemento fundamental que resulta desconocido para la inmensa mayoría de los usuarios de servicios online.

De forma habitual, cuando queremos acceder a una página web recurrimos a nuestro navegador e introducimos un nombre, a menudo seguido por una extensión “.com”, “.es”, “.org”, etc. Es lo que se conoce como un dominio de Internet.

Cuando eso ocurre, nuestra red se conecta a los servicios de DNS que traducen la información a una dirección IP que identifica de forma unívoca el dispositivo o red a la que pretendemos conectarnos. A partir de ahí, los sistemas entrarán en comunicación e intercambiarán peticiones de información y datos de consulta.

Un listín telefónico universal

Estableciendo una analogía, el DNS sería algo parecido a lo que proporciona un listín telefónico: frente a un nombre, el DNS devuelve una dirección IP. Aunque en realidad, no es tan simple. Se trata de algo más sutil, porque en un listín telefónico no se identifica unívocamente a una persona —algo que sí podría hacer el número de su DNI—, pero como ejemplo nos sirve.

Pues bien, siguiendo con la analogía, el DNS actuaría como ese antiguo “listín telefónico” con los dominios registrados en Internet. Pero todos, todos; sin exclusión. Con ellos es posible saber cómo conectarse a cualquier sitio.

Se trata de una información de control fundamental para el funcionamiento de Internet. De hecho, su gestión está coordinada por un organismo internacional independiente, la ICANN —Internet Corporation for Assigned Names and Numbers—, que presta su servicio a todos los usuarios del mundo.

Añadidos al DNS

Basándose en los servicios de esta organización, se puede saber la dirección IP de cualquier dominio a través de una red de entidades delegadas constituida a nivel global. Una red que puede limitarse a proporcionar la dirección IP del dominio o añadir servicios de valor, como por ejemplo identificar direcciones potencialmente peligrosas (porque contienen malware, son dominios de phishing, etc.).

Esto es lo que ofrecen algunos proveedores como Cisco Umbrella, Zscaler, Infoblox, etc. que analizan los dominios de Internet en tiempo real y los clasifican en función de criterios relacionados con su seguridad, utilidad, tipos de uso… De facto, se trata de un servicio que muchas compañías utilizan para proteger los equipos de sus empleados cuando se conectan a la Red.

Confidencialidad: DNSSEC, DoT y DoH

Si continuáramos con la analogía telefónica podríamos asimilar este filtrado de DNS a que alguien nos dijera que no podemos —o no debemos— llamar a un número de teléfono porque se trata de un lugar inapropiado o puede causarnos algún daño.

Llegados a este punto, algunos se preguntarán ¿por qué tiene que haber alguien que me diga a dónde no debo conectarme? ¿por qué no puedo mantener la confidencialidad de los lugares a los que accedo?

La pregunta no carecería de buenos argumentos si estuviera dirigida a nuestras conexiones particulares —de facto, somos libres de decidir dónde nos conectamos—, pero también afectan al uso empresarial que hacemos de Internet. Y muchos de esos lugares almacenan virus o herramientas delictivas que pueden causar daño a un equipo o a otros dispositivos; y eso puede afectar los intereses de una empresa.

Dejando aparte las cuestiones del filtrado de destinos, históricamente ha habido múltiples iniciativas dirigidas a proteger las consultas a DNS y así evitar sus problemas de confidencialidad, autenticidad e integridad.

DNSSEC, allá por 1999, fue la primera en este sentido. Sin embargo, solo proporcionaba dos de las tres características mencionadas: la integridad y la autenticidad. La confidencialidad, de hecho, solo fue objeto de estudio más recientemente, cuando se definieron nuevas conexiones para el protocolo como DoT (DNS over TLS) y DoH (DNS over HTTPS) que permitían cifrar las consultas al sistema DNS.

Los navegadores deciden

En particular, esa confidencialidad en el DNS a través de HTTPS abrió un nuevo debate. Hace apenas unos meses, Mozilla anunciaba que pretendía poner a disposición de sus usuarios la posibilidad de acceder al DNS de forma privada a través de DoH, es decir, utilizando confidencialmente la consulta a un “listín telefónico” que los usuarios mismos podrían seleccionar. El anuncio no pasó desapercibido en el mercado ya que suponía un cambio muy significativo en la gestión del servicio de consulta de dominios. Un cambio que afectaba incluso a los dispositivos —servidores y puestos de trabajo— de las empresas.

Herramientas como Chrome, Microsoft Edge, Safari o Mozilla son utilizados diariamente por casi cualquier persona. Si estos navegadores pudieran autoconfigurar los DNS a los que se conectan —amparados en la confidencialidad que proporcionan a sus conexiones— estarían en disposición de monopolizar una parte del mercado de la ciberseguridad que afecta a la gestión de la consulta a los dominios de Internet. Incluso podrían suponer un riesgo a la seguridad de las empresas si tal posibilidad pudiera ser gestionada directamente por cualquier empleado.

Pese a estas reticencias, Google, Microsoft y Apple ya ha dado sus primeros pasos en esa dirección. Sus navegadores podrán emplear DoH para dirigir las peticiones a sus propios servidores de DNS —aunque dejen la puerta abierta a que también puedan utilizarse los servicios de otros proveedores. Mozilla incluso pretende ir más lejos y centralizar las peticiones de resolución de dominios. Por el momento, ya lo tiene implantado en los navegadores que se utilizan en USA y ha abierto consultas para extenderlo a otras regiones del mundo.

Controversias por el control del DNS

La ventaja competitiva no es baladí. Las consultas al DNS pueden decir mucho acerca de a dónde se conecta un usuario de forma habitual y, por tanto, servir para otros fines, entre ellos los comerciales.

Si preguntáramos a los actores mencionados sobre esta posibilidad todos negarían su interés: la confidencialidad estará por encima de cualquier interés particular. De cualquier forma, y sea cual sea el caso, el debate técnico sigue abierto y sujeto a numerosas controversias.

Es posible que al final la conexión por DoH acabe por implantarse. De ser así, tendremos que asumir, entre otras cosas, que los que gestionen la confidencialidad de nuestras búsquedas o nos informen sobre la idoneidad de un dominio o dirección IP sean los mismos que nos ofrecen sus navegadores Web —además de muchos otros servicios— como herramientas de trabajo. Algo que no resulta una cuestión menor. Que cada cual saque sus conclusiones.

Autor
Saber más 
Saber más