A principios de abril, la gente de Cloudflare lanzó su nuevo servicio de DNS gratuito afirmando que eran más rápidas y seguras que las conocidas DNS de Google o las de OpenDNS.
No mucho después nos enteramos que también estaban colaborando con Mozilla para integrar las DNS 1.1.1.1 en Firefox, algo que según ambas empresas traería a los usuarios del navegador una resolución de DNS que piense primero en la privacidad. Sin embargo, algunos expertos de seguridad piensan que será todo lo contrario.
Así lo explican investigadores de seguridad de Ungleich en términos bastante sencillos. El punto es que todo el tráfico de tus DNS sería enviado a Cloudflare, y por el simple hecho de que se están compartiendo datos con terceras partes, el usuario está asumiendo un riesgo.
¿Qué es exactamente lo que va a integrar Firefox?
Mozilla ya ha dicho que quiere ayudar a distribuir estos DNS a todos sus usuarios, y aunque aún no planean activarlos por defecto, es la intención que tienen. Firefox pronto tendrá dos nuevas características clave: DNS over HTTPS (DoH) y Trusted Recursive Resolver (TRR).
DNS sobre HTTPS busca resolver un problema fundamental del protocolo DNS, y es que las peticiones que hacemos para visitar un sitio web usualmente son enviadas sin cifrar, y todo el que esté entre tú y el servidor DNS que responde la petición puede leer la información.
Con DoH, Mozilla usa una nueva técnica para transportar las peticiones sobre HTTPS, es decir, cifrando los datos, y hasta ahí todo muy bien. Ahora, para los expertos el problema se presenta con 'Trusted Recursive Resolver' (TRR).
Usualmente los servidores DNS que usamos son locales, es decir, los que nos provee nuestro ISP, y los vectores de ataque, es decir, todo aquello que podría espiarte a través de ellos, también son locales.
Cuando Mozilla active TRR, los cambios en los DNS que hayas hecho a tu red no tendrán ningún efecto mientras navegues con Firefox, puesto que el navegador resolverá los nombres de dominio directamente a través de un servidor DNS de Cloudflare basado en Estados Unidos.
Esto quiere decir que Cloudflare podrá leer las peticiones DNS de todos los usuarios de Firefox, que para ser justos, es exactamente lo que pasa si usas las DNS 1.1.1.1 en primer lugar, en el navegador o dispositivo que sea, y aunque Cloudflare promete que borrará los registros de consultas DNS a las 24 horas, los registros no solo existen, sino que están sujetos a las leyes estadounidenses.
Es decir, todas las peticiones DNS que resuelve Cloudflare pueden ser solicitadas a la empresa por cualquier agencia gubernamental de ese país amparados en las leyes. Para algunos esto básicamente deshabilita el anonimato de la navegación. Y esto pone en riesgo a quienes más lo necesiten.
En Genbeta | ¿Por qué un ataque DDoS a una DNS puede afectar a tantos servicios y usuarios?
Ver 6 comentarios
6 comentarios
pitinsky
Extraido de la web 1.1.1.1:
"We will never log your IP address (the way other companies identify you). And we’re not just saying that. We’ve retained KPMG to audit our systems annually to ensure that we're doing what we say.
Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t."
No creo que si fueran a mentir, pusieran el nombre de KPMG en la pagina principal del proyecto con toda la calma. Que EEUU pueda solicitar acceso no significa que los datos no puedan haber sido correctamente "anonimizados"
Usuario desactivado
"todo el tráfico de tus DNS sería enviado a Cloudflare".
Y si usas las DNS de Google todo el tráfico pasa por Google. Y si usas las DNS de Telefónica todo el tráfico pasa por Telefónica... Menuda novedad.
"el navegador resolverá los nombres de dominio directamente a través de un servidor DNS de Cloudflare basado en Estados Unidos"
Falso. Las queries DNS las resolverá preferiblemente el servidor más cercano o con menos latencia de la red de Cloudflare, que tiene centros de datos por todo el planeta.
En cuanto a la privacidad, como bien ha dicho pitinsky los logs no guardan tu dirección IP, por tanto son anónimos. Además de borrarse tras 24h.
El artículo original menciona también otras cosas, como que Cloudflare es un único punto de fallo (que no es del todo cierto, ya que tienen muchos centros de datos) pero que tampoco es nuevo, todos los proveedores de DNS tienen este problema.
Otra preocupación del artículo es que ya estás metiendo a un tercero en la resolución de DNS, pero esto tampoco es nuevo, siempre hay un tercero (tu ISP, Google o el servidor de DNS que tengas configurado).
El único punto con algo de razón es el que critica que Mozilla "sobrescriba" las DNS que tenga configurada la red del usuario por defecto. Ahí tienen razón, quizá debería ser el usuario el que active esto manualmente. Pero también es cierto que puedes ir a about:config y desactivarlo como también es cierto que la mayoría de usuarios ni saben las DNS que utilizan (que son las que les haya puesto el operador de turno en el router).
En definitiva, que no hay por dónde coger este artículo, por decirlo suavemente. Las DNS de Cloudflare son más rápidas, ofrecen más garantías en términos de privacidad y por lo demás tienen los mismos problemas que cualquier otro DNS Resolver.
miguelangel.gonzalez_2
Lo que hay que leer...
Bien redactado, pero sin fundamento...
Articulo que solo ayuda a la desinformación.
Usuario desactivado
Siento decirlo, pero tengo que posicionarme con los demás comentarios
Este artículo es alarmista. Personalmente no estoy a favor de que un navegador me imponga unas DNS en concreto: si Chrome me obligara a utilizar las de Google me tocaría mucho la moral y me plantearía muy seriamente cambiar de navegador (por mucho que Google probablemente/seguro sepa lo que hago con Chrome sin necesidad de que yo utilice sus DNS), lo que a estas alturas sería un engorro mayúsculo.
Dicho esto, al final el servidor DNS va a saber sí o sí quién intenta visitar qué, lo que haga con esa información (almacenarla por si se la pide un juez, venderla a terceros, destruirla al cabo de 5 minutos, etc.) dependerá únicamente de lo que ellos decidan (que sea legal o no es otro cantar), y no necesariamente lo que digan será lo que hagan (ya sea ahora o en un futuro).
Ahora mismo las DNS de cloudfare son las más atractivas porque:
1) tienen una política de privacidad mejor que la de otros servicios DNS (que insisto, no sé hasta que punto cumplen dicha política pero a priori no hay pq pensar que no lo vayan a hacer). Este riesgo de privacidad es inherente en todos los servicios DNS. A muy malas, si no confiamos en ningún servidor DNS en lo que a la privacidad se refiere, siempre podemos montarnos nuestro servidor DNS, aunque mantenerlo pueda suponer un engorro de proporciones épicas.
2) se supone que son más rápidas traduciendo nombres a IPs (aunque personalmente este punto para mí no es crítico ni decisivo). Yo no lo he comprobado pero es lo que dice la gente que supuestamente sí lo ha hecho; yo no noto diferencia desde que cambié las de mi ISP a las de cloudfare.
3) ofrecen una capa de encriptación que garantiza que nuestras solicitudes de traducción nombre dominio=>IP no las sepa nadie más que ellos (ni nuestro ISP, ni cualquier sistema intermedio entre nuestro dispositivo y ellos), o que al menos sean más difíciles de obtener.
Pero insisto, no por ello me parece bien que vayan "hardcoded" en ningún browser, pq si mañana hay otro servicio más apetecible tendré que decidir entre esperar a que Mozilla cambie (si es que lo hace), o bien seguir usando las de cloudfare a pesar de que no es el servicio que deseo usar, o bien plantearme cambiar de browser por otro que utilice las DNS del sistema operativo (y como digo, cambiar de browser puede suponer un engorro mayúsculo para algunos - para mí lo sería).
cesarseijas
Me gustan muchos articulos de Genbeta, pero este... da pena.