por

Google añadiría DNS over TLS para proteger a Android

Una de las razones por las que los proveedores de servicios de Internet (ISP) o hackers pueden espiar tus comunicaciones si usas el protocol HTTPS, es por dos factores claves. El primero es la encriptación que oculta de forma irreversible el intercambio de información con el servidor web, y la segunda, es la autenticación del servidor web en sí mismo.

Pero, ¿acaso sabías? que los ISP pueden ver todas sus solicitudes a servidores DNS, lo que les permite saber qué sitios web visitas y además los hackers pueden implementar ataques de Man in the Middle a servidores DNS y dirigirte a sitios web fraudulentos.

Google está trabajando en una nueva característica de seguridad para su sistema operativo Android que podría evitar que el tráfico de Internet de los usuarios de su sistema operativo sea objeto de ataques de suplantación, redirección de tráfico o que simplemente sean espiados.

Casi todas las actividades de Internet comienzan con una consulta a un servidor DNS, lo que convierte a este protocolo en un componente fundamental de Internet. El DNS funciona como una guía telefónica de Internet, su misión es convertir las direcciones web legibles por el ser humano, como el nombre de dominio www.consejerodigital.com, en una dirección IP que es comprensible por la computadora.

Las consultas y respuestas a los servidores DNS se envían en texto plano (usando ya sea el protocolo UDP o TCP), lo que lo hace vulnerable a las escuchas ilegales y compromete la privacidad de los usuarios.

Los ISP resuelven por defecto las consultas DNS desde sus servidores. Entonces, cuando ingresas el nombre de un sitio web en tu navegador, la consulta va primero a sus servidores DNS para encontrar la dirección IP del sitio web, que finalmente expone esta información (metadatos) a tus ISP.

Aunque ya existen extensiones de seguridad para DNS, conocidas como DNSSEC, solo ofrecen integridad de datos, no privacidad.

Para tratar de resolver este problema, el Grupo de Trabajo de Ingeniería de Internet (IETF, por sus siglas en inglés) propuso el año pasado una característica experimental llamada DNS sobre TLS (RFC 7858), que funciona aproximadamente de la misma manera en que lo hace el protocolo HTTPS.

Al igual que el protocolo de encriptación Transport Layer Security (TLS) protege las conexiones HTTPS criptográficamente, DNS-over-TLS mejora dramáticamente la privacidad y la seguridad con búsquedas de DNS autenticadas de extremo a extremo.

Se ha informado en un post del blog XDAdevelopers, que Google agregará soporte “DNS over TLS” al Proyecto de Código Abierto de Android (AOSP), actualmente en una etapa experimental, para permitir a los usuarios de smartphones activar o desactivar la función “DNS over TLS” en la Configuración de Opciones de Desarrollador.

Es importante resaltar lo que agraga ese post al final como adendum referente a que no existe una formula mágica para proteger el tráfico del usuario:

Tenga en cuenta que TLS over DNS no dará lugar a la privacidad total con solo presionar un botón. Si un proveedor de servicios de DNS diferente al que decide conectarse opta por habilitar DNS over TLS, obtendrán su tráfico de DNS en lugar de su ISP. Las solicitudes de DNS se cifrarán, pero el servidor DNS sobre el protocolo TLS aún puede ver su tráfico de DNS, aunque eso solo podría ser un paso más arriba al usar los servidores de su ISP sin TLS over DNS. Al menos de esta manera, su ISP no podrá adjuntar sus consultas a la IP que le han asignado, y por lo tanto su nombre.

El handshake entre los servidores a través de la Indicación del nombre del servidor (SNI) que permite que se establezca una conexión aún puede ser visto por su ISP (y pueden registrarlo a su nombre). Para esconderte completamente, necesitarás una VPN para enrutar las consultas DNS, que de lo contrario tu ISP puede ver, a un servidor DNS over TLS. Mientras confíe en su proveedor de VPN, ahora debería estar más oculto que nunca en Android. Por lo tanto, aunque esta característica no le permite ser completamente anónimo en virtud de tener un DNS over TLS, sí le permite ocultar las solicitudes DNS de los ISP, y ocultar las solicitudes y el tráfico si está dispuesto a agregar algo extra de trabajo.

Aún no sabemos la fecha exacta de cuándo esta características estará disponible, pero es muy probable en que una próxima version Android 8.x la tengamos presente.