Desde la Asociación Española de Protección de Datos (AEPD) nos alertan sobre los peligros de protección de datos que puede ocasionar el protocolo de Sistema de Nombres de Dominio (DNS) al exponer los datos de navegación del usuario a través de sus consultas.
El citado protocolo es el sistema de nomenclatura jerárquico y descentralizado que utilizan todos los dispositivos que están conectados a redes IP como Internet, y desde su desarrollo hace 35 años ha sido uno de los pilares del uso de la Red global. Sin embargo, como se explica en un documento técnico dirigido a desarrolladores la AEPD, «la mayoría de los protocolos de Internet, DNS se definió sin tener en cuenta la seguridad«.
¿Cómo funciona el protocolo DNS?
El Sistema de Resolución de Nombres fue creado para facilitar la navegación y el acceso a sitios web. De esta forma, los usuarios podemos introducir el nombre de la página a la que deseamos acceder en lugar de tener que recordar el código numérico de hasta 12 dígitos que constituye la dirección IP.
Cuando navegamos por Internet, nuestros dispositivos realizan consultas de forma constante a través del protocolo DNS a otros servidores para determinar la dirección IP a la que se pretende acceder. Estas consultas contienen no sólo una dirección IP, que nos identifica como usuario y permite geolocalizarnos, sino también el nombre de la página a la que vamos a acceder, revelando nuestros hábitos de navegación. Con toda esta información se podría crear perfiles de cada uno de nosotros a partir de nuestras opiniones, o de los blogs, foros o webs a las que accedemos.
Privacidad en riesgo
El protocolo DNS ha experimentado varias actualizaciones para mejorar la confidencialidad, entre las que se encuentran DoH, que utiliza el protocolo de seguridad HTTPS, y DoT, que emplea cifrado mediante TLS. No obstante, DoT no está implementando aún en la mayoría de dispositivos, según la AEPD, y solo los navegadores web utilizan el protocolo DoH, lo que «las aplicaciones de los equipos y el propio sistema operativo siguen realizándose sin cifrar la comunicación«.
Estas actualizaciones suponen un avance para la privacidad de las comunicaciones, sobre todo en redes no confiables, pero subsisten limitaciones que aún tienen que superarse. Además, la AEPD ofrece algunas recomendaciones, como impulsar una mayor implantación de las extensiones de seguridad DNSSEC; el uso generalizado de consultas DNS cifradas; que los proveedores de estos servicios informen de las condiciones de uso del servicio, o que las compañías de internet que utilicen servidores DNS de terceros se aseguren de escoger proveedores que se ajusten a las exigencias del RGPD.
Finalmente hay que tener en cuenta que la AEDP ha destacado que el cifrado por HTTPS supone también peligros, ya que por el sistema de consultas a servidores que utiliza «facilita al malware el poder eludir mecanismos de detección» e incluso «puede dar una falsa sensación de seguridad» al permitir técnicas de fingerprinting que pueden identificar el destino o analizar el tráfico web.