A principios de abril, la gente de Cloudflare lanzó su nuevo servicio de DNS gratuito afirmando que eran más rápidas y seguras que las conocidas DNS de Google o las de OpenDNS.
No mucho después nos enteramos que también estaban colaborando con Mozilla para integrar las DNS 1.1.1.1 en Firefox, algo que según ambas empresas traería a los usuarios del navegador una resolución de DNS que piense primero en la privacidad. Sin embargo, algunos expertos de seguridad piensan que será todo lo contrario.
Así lo explican investigadores de seguridad de Ungleich en términos bastante sencillos. El punto es que todo el tráfico de tus DNS sería enviado a Cloudflare, y por el simple hecho de que se están compartiendo datos con terceras partes, el usuario está asumiendo un riesgo.
¿Qué es exactamente lo que va a integrar Firefox?
Mozilla ya ha dicho que quiere ayudar a distribuir estos DNS a todos sus usuarios, y aunque aún no planean activarlos por defecto, es la intención que tienen. Firefox pronto tendrá dos nuevas características clave: DNS over HTTPS (DoH) y Trusted Recursive Resolver (TRR).
DNS sobre HTTPS busca resolver un problema fundamental del protocolo DNS, y es que las peticiones que hacemos para visitar un sitio web usualmente son enviadas sin cifrar, y todo el que esté entre tú y el servidor DNS que responde la petición puede leer la información.
Con DoH, Mozilla usa una nueva técnica para transportar las peticiones sobre HTTPS, es decir, cifrando los datos, y hasta ahí todo muy bien. Ahora, para los expertos el problema se presenta con 'Trusted Recursive Resolver' (TRR).
Usualmente los servidores DNS que usamos son locales, es decir, los que nos provee nuestro ISP, y los vectores de ataque, es decir, todo aquello que podría espiarte a través de ellos, también son locales.
Cuando Mozilla active TRR, los cambios en los DNS que hayas hecho a tu red no tendrán ningún efecto mientras navegues con Firefox, puesto que el navegador resolverá los nombres de dominio directamente a través de un servidor DNS de Cloudflare basado en Estados Unidos.
Esto quiere decir que Cloudflare podrá leer las peticiones DNS de todos los usuarios de Firefox, que para ser justos, es exactamente lo que pasa si usas las DNS 1.1.1.1 en primer lugar, en el navegador o dispositivo que sea, y aunque Cloudflare promete que borrará los registros de consultas DNS a las 24 horas, los registros no solo existen, sino que están sujetos a las leyes estadounidenses.
Es decir, todas las peticiones DNS que resuelve Cloudflare pueden ser solicitadas a la empresa por cualquier agencia gubernamental de ese país amparados en las leyes. Para algunos esto básicamente deshabilita el anonimato de la navegación. Y esto pone en riesgo a quienes más lo necesiten.
En Genbeta | ¿Por qué un ataque DDoS a una DNS puede afectar a tantos servicios y usuarios?
Ver 6 comentarios