DNS Over HTTPS (DoH) y los problemas de seguridad y privacidad

La industria de la seguridad de la información, así como los profesionales del área, se esforzaron por brindar soluciones que nos ayuden a tener más seguridad y privacidad durante nuestra navegación en internet. La mayoría de las tecnologías creadas son “invisibles”, ya que generalmente funcionan en el background, o sea, pueden estar en los servidores que alojan a los sitios que visitamos, en los servidores que dirigen nuestras solicitudes cuando digitamos en el navegador el sitio que queremos visitar, etc.

Como las tecnologías son invisibles, no sabemos ni podemos tener la seguridad de lo que realmente está ocurriendo durante el tráfico de los datos y, en la mayoría de los casos, somos susceptibles a fallas que comprometen la seguridad y la privacidad de nuestra información. El reciente DNS Over HTTPS (DoH) es un ejemplo de tecnología que se creó con el objetivo de proporcionarnos una navegación segura y, sin embargo, presenta algunos pero.

Una pequeña introducción sobre DNS y DNSSEC

Durante la navegación en la web (por ejemplo, con su smarthphone, tablet, computadora o notebook) se utiliza casi en un 100 % el protocolo DNS.

El DNS (Domain Name System) es un protocolo que realiza la traducción de nombres de dominios (como las direcciones de sitios, por ejemplo, uol.com.br, google.com.br) a direcciones IP. Una dirección IP es una secuencia de números separados por puntos, que además de funcionar como la “identidad” de ese sitio web, identifica nuestra conexión a internet (la de nuestro hogar, trabajo, internet móvil 3G/4G, etc.), nuestras computadoras y celulares conectados al wifi, los dispositivos (Internet of Things/Internet de las cosas), como heladeras, acuarios, sistemas de seguridad residencial, entre otros.

Pero el DNS tiene varias fallas de seguridad, ya que no se tenía en mente la seguridad o la privacidad de la información cuando se proyectó. Una de esas fallas es, por ejemplo, el envenenamiento de caché y el secuestro de DNS, que permiten a los atacantes que redirijan las solicitudes de los usuarios para llevarlos a sitios falsos de phishing o a sitios que diseminan malware para el robo de datos sensibles.

Con el fin de resolver una buena parte de los problemas del DNS, se creó el protocolo de seguridad DNSSEC (Domain Name System Security, o extensiones de seguridad del sistema de nombres de dominio). El DNSSEC protege contra diversos ataques mediante la firma digital de los datos en todos los niveles de consulta DNS. Tomemos como ejemplo el sitio google.com. En él, un root DNS server (servidor DNS raíz) firmaría una clave para el servidor de nombres .COM, que a su vez firmaría una clave para el servidor de nombres autoritativo de GOOGLE.COM.

Si usted administra sitios web, y tiene acceso al panel de administración, es importante verificar si el proveedor proporciona soporte para las entradas de DNSSEC.

DNS Over HTTPS (DoH) y los temas de seguridad y privacidad

El DNS Over HTTPS (DoH) se creó hace algunos años y es un estándar desde octubre de 2019. Así como el DNSSEC, el DoH suma algunas funcionalidades de seguridad, pero en este caso tenemos la criptografía de las consultas DNS, que se “disfrazan” de tráfico HTTPS. Toda consulta DNS es enviada a los DoH Resolvers, que responden la solicitud del usuario de manera encriptada.

El foco del DoH es impedir que los proveedores de servicios de internet rastreen las solicitudes DNS de sus usuarios, de forma tal que, en teoría, no sepan qué sitios están visitando. Esta solución de privacidad es ideal para países que censuran los accesos de sus habitantes o si los usuarios no quieren que sus proveedores sepan los sitios que están visitando. Muchas empresas (aunque no todas, dejemos esto bien claro) y organizaciones están implementando el DoH lo que hace que sean reconocidas como empresas que se preocupan por la privacidad de la información de sus usuarios/clientes.

El problema del uso de resolutores DoH públicos

• Filtración de la información DNS: si un servidor DNS interno de su organización es burlado a través de la configuración de un resolutor DoH público, los dominios solicitados por el usuario se filtrarán al resolutor DoH público.
• Impacto en la resolución interna de DNS: además de filtrar informaciones de nombres internos a un DoH público, se producirá una falla en la resolución de nombres internos, lo que afectará a los servicios que dependan de esos nombres.
• Dificultad para impedir la detección de malware (que se aprovecha del sistema de DNS):
• Algunos sistemas existentes en una organización detectan malwares al seguir patrones en el tráfico DNS y buscar comportamientos anómalos. Este recurso, cuando se implementa en el DNS de la organización, es una forma de preservar esta funcionalidad, pero solo se podrá hacer si el servidor DNS fuera controlado por la propia empresa.
• El malware configurado para utilizar el DoH podría comprobar si está hablando con el DoH que eligió al validar el certificado TLS. Únicamente el operador del DoH tendría las claves privadas necesarias para construir el certificado correspondiente y entonces, si llevase a cabo una validación, sería casi imposible interceptar las consultas DNS del malware.

• Resolutor de DoH menos confiable: un resolutor de DoH puede ser menos confiable que el resolutor de DNS común, dependiendo principalmente de la jurisdicción, de las políticas de los operadores del DNS y cualquier relación que tenga el usuario/host con una de las partes.
• Servidor DoH malicioso: si se alterase la elección del servidor DoH, el nuevo servidor DoH podría ser malicioso. Esto podría interferir en otros componentes del navegador (los plug-in) que dependen del DNS para ejecutar sus actividades, incluyendo posiblemente la prevención de malwares, etc.
• El DoH no impide el rastreo del usuario:
• El DNS no es el único protocolo involucrado en la navegación web. También existen otros varios puntos que los proveedores pueden rastrear para conocer la URL visitada por el usuario.
• Si un usuario estuviera ingresando a un sitio que se carga por  HTTP, utilizar el DoH no surtirá efecto, ya que el proveedor también sabrá a qué URL está accediendo el usuario simplemente al buscar por solicitudes HTTP en texto puro.
• Lo mismo ocurre si un usuario estuviera ingresando a sitios HTTPS. Los proveedores sabrán qué sitio está visitando porque el protocolo HTTPS no es perfecto y algunas partes de la conexión HTTPS no están encriptadas.
• Los especialistas dicen que los proveedores no se verán afectados por el DoH porque algunas partes del HTTPS que no están encriptadas seguirán siendo visibles, como los campos SNI y conexiones OSCP.
  
  
  

¿Qué se puede hacer?

Los especialistas recomiendan que para tener un ambiente más seguro, en vez de utilizar el servicio estándar de DNS, se debe optar por el DNSSEC y el DNS Over TLS (DoT) o DNS sobre TLS.

El DoT es similar al DoH, pero encripta la conexión DNS directamente, en vez de ocultar el tráfico dentro del HTTPS.

El DoT comparte algunas de las desventajas del DoH, pero si los investigadores de seguridad tuviesen que elegir entre el DoH y el DoT, este último causaría mucho menos dolores de cabeza, ya que funcionaría sobre la infraestructura DNS existente, en vez de que usted tenga que crear su propia clase de resolutores compatibles.