DNS Encriptados: Pros y Contras

Evitar problemas de seguridad con el DNS cifrado

Los DNS cifrados ofrecen la ventaja de proporcionar mayor privacidad a los internautas y dificultar la exfiltración de datos y el secuestro a otros sitios durante la resolución de una consulta DNS. Sin embargo, surgen dudas sobre la seguridad que realmente proporcionan. En este post, explicaremos cómo las herramientas ofrecidas por FlashStart hacen más seguro el uso de DNS cifrados.

1. ¿Qué es un DNS?

El DNS – Sistema de Nombres de Dominio, por sus siglas en inglés es lo que podríamos llamar la guía telefónica de Internet. De hecho, cada sitio web puede rastrearse hasta una serie de números y puntos, llamada dirección IP (Protocolo de Internet), que lo identifica de manera única. Además, los dispositivos electrónicos también están equipados con una dirección IP única. De esta manera, la comunicación puede tener lugar de la misma manera que entre dos números de teléfono, con uno llamando y el otro respondiendo.

El protocolo DNS es el sistema que permite que el nombre del dominio o sitio buscado, que es fácil de recordar o identificar en una lista de resultados de búsqueda, se traduzca en la secuencia de números y puntos reconocida por Internet. Una vez completado esto, lo cual ocurre tan rápidamente que el usuario promedio no se da cuenta de lo que está sucediendo, el navegador redirige al usuario al sitio deseado.
Más específicamente, con cada una de nuestras solicitudes para cargar una página web, estamos operando cuatro servidores en un proceso que puede compararse con el de solicitar un libro de la biblioteca.

2. DNS Recursor

Es un resolvedor recursivo que recibe consultas (solicitudes de redirección a sitios web) que generalmente se originan en un navegador web. Para cada solicitud, el recursor almacena en caché la información recibida de los otros servidores involucrados en el proceso. De esta manera, si un usuario solicita estrechamente el acceso al mismo sitio varias veces, el recursor DNS puede evitar el proceso de los cuatro servidores y redirigir al usuario directamente al sitio deseado.

Esto es posible porque el recursor DNS es el servidor que mantiene las cadenas del proceso relacionado con la consulta, enviando solicitudes a los otros servidores a medida que recibe sus respuestas. Al comparar el proceso de resolución DNS con el de una solicitud en una biblioteca, el Recursor DNS correspondería al bibliotecario al que le hacemos nuestra solicitud.

3. Root nameserver

El servidor raíz (root nameserver) es el primer paso en la resolución real y es responsable de dirigir la solicitud del resolvedor recursivo en función de la extensión del dominio buscado (.net, .org, .it, .com, etc.). Hay 13 root nameserver en el mundo. Están controlados por una organización llamada Corporación de Internet para la Asignación de Nombres y Números (ICANN, por sus siglas en inglés), que opera bajo el lema de «Un mundo, una internet». Existen varias copias de estos trece servidores alrededor del mundo, que, gracias a la red Anycast en la que también se basa FlashStart, permiten responder rápidamente a las solicitudes de los usuarios.

En comparación con los servicios de biblioteca, el servidor raíz correspondería al catálogo de la biblioteca en el que se enumera la ubicación específica de un libro en particular.

4. Servidor de nombres TLD

Este es el servidor de Dominio de Nivel Superior (Top Level Domain – TLD), es decir, el que corresponde a lo que está después del último punto en la URL. Por ejemplo, el servidor de nombres de dominio .com incluye todos los sitios web catalogados cuya URL termina en .com.

Estos servidores son gestionados por la IANA (Autoridad de Asignación de Números de Internet), que es una subsidiaria de la mencionada ICANN. La IANA ha dividido los servidores de nombres de dominio TLD en dos categorías: los genéricos (como .com, .edu, .gov, .org y .net) y aquellos con códigos internacionales, que incluyen todos los dominios rastreables a países o estados específicos (.de, .es, .it, .uk, etc.).

En nuestra metáfora de la biblioteca, los servidores de nombres de dominio TLD corresponden a la estantería específica de libros dentro de la biblioteca.

5. Servidor de nombres autoritativo

El servidor de nombres autoritativo es el último paso en el proceso de resolución DNS para obtener la dirección IP y, por lo tanto, es comparable a un diccionario en la estantería que previamente se identificó y permite convertir un nombre en una definición específica.

Si el servidor de nombres autoritativo tiene acceso a la información solicitada, devuelve la dirección IP directamente al resolvedor recursivo.


>> FlashStart te protege de una amplia variedad de amenazas y bloquea el acceso a sitios maliciosos → Inicie su prueba gratuita ahora


6. DNS encriptados

Por lo general, las consultas DNS y sus respuestas se realizan en texto sin formato, es decir, utilizando texto no formateado que no tiene ningún tipo de encriptación. Esto significa que, por ejemplo, cuando buscamos www.flashstart.com, los diversos servidores buscan exactamente el dominio .com y luego, a partir de ahí, el nombre Flashstart. En el caso del DNS encriptado, en cambio, la búsqueda se realiza mediante un código encriptado, por ejemplo, 4&s$(«71ha, algo que es indescifrable.

El uso de DNS encriptado es posible gracias al protocolo DNS sobre HTTPS, conocido como DoH por sus siglas en inglés, que permite a los usuarios completar la resolución del Sistema de Nombres de Dominio utilizando el protocolo HTTPS. En comparación con el DNS tradicional, este protocolo parece ser más seguro y parece ser una mejor opción para proteger la privacidad del usuario.

¿Cómo funciona? En lugar de utilizar transmisión de texto sin formato, el navegador envía la consulta y, por lo tanto, el nombre del sitio buscado a un servidor HTTPS a través de una conexión encriptada. La idea es que, con una conexión encriptada, los terceros no deberían poder interferir en la búsqueda para averiguar a qué sitios se desea acceder.


>> Puedes activar la protección FlashStart® Cloud en cualquier router o cortafuegos para proteger tus dispositivos móviles y de sobremesa, así como los dispositivos IoT en redes locales


6.1 DNS encriptados: ¿son realmente más seguros?

Existen muchos Internet Service Provider que expresan dudas sobre la mayor seguridad del protocolo DoH en comparación con el protocolo DNS tradicional. Estas dudas se refieren, por un lado, al rendimiento de los DNS encriptados, que se ha demostrado que es inferior al del DNS tradicional, y por otro lado, a la privacidad real que este protocolo puede garantizar.

En cuanto al primer punto, se puede encontrar más información sobre cómo funciona el DNS sobre HTTPS en nuestro artículo dedicado.

En cuanto a la seguridad, el protocolo DoH reduce la probabilidad de ataques intermedios que resultan en la manipulación de los datos DNS, es decir, los llamados ataques de «hombre en el medio» que tienen como objetivo robar nuestra información sin que nos demos cuenta y, tal vez, redirigir nuestras solicitudes a sitios falsos que contienen malware y contenido peligroso. Con el DNS encriptado, teóricamente se vuelve más difícil analizar el tráfico DNS.

Sin embargo, debido a su transmisión sin encriptar, el servicio DoH permite a los usuarios eludir fácilmente los filtros de navegación, lo que hace que la navegación sea más vulnerable. Esto ocurre cuando dichos filtros no brindan protección sobre DoH, algo que FlashStart, en cambio, sí ofrece.

Por lo tanto, el protocolo DoH requiere que los administradores de red repiensen la seguridad de Internet en las redes administradas y revisen las políticas de filtrado en el acceso web para los usuarios. Por estas razones, el protocolo DoH puede ser un punto de alerta muy importante y estratégico para la seguridad de los datos, la infraestructura y los propios usuarios.

Además, los hackers también han evolucionado en este sentido, desarrollando ataques que se dirigen específicamente a las consultas basadas en el protocolo DoH, como el ataque a fines de julio de 2020 realizado por el grupo iraní Oilrig, que utilizó el protocolo DoH para manipular, extraer y mover datos.

CloudBox de FlashStart le permite instalar resolvedores DoH internos, evitando los problemas de seguridad asociados a los DNS encriptados. Solicite un presupuesto ahora.

7. Herramientas FlashStart: filtro de Internet y CloudBOX

FlashStart ofrece una seguridad completa en Internet a través de sus dos herramientas principales: el filtro de Internet DNS y CloudBOX.

7.1 Filtro de Internet de FlashStart

El filtro de Internet de FlashStart utiliza algoritmos de inteligencia artificial para proteger a todos los usuarios conectados a la red, tanto aquellos que acceden a través del enrutador corporativo o doméstico como aquellos conectados de forma remota, cuya protección está garantizada por la aplicación ClientShield.

La protección de FlashStart es totalmente basada en la nube y, por lo tanto, no requiere actualizaciones por parte de los usuarios. La herramienta bloquea automáticamente el acceso a contenidos maliciosos, como malware, intentos de phishing y spyware. El administrador de la red puede decidir si también bloquear contenidos inapropiados, como pornografía, contenidos violentos y contenidos relacionados con drogas, así como contenidos que distraen, que incluyen redes sociales, plataformas de streaming de audio y video y sitios de compras en línea.

7.2 FlashStart CloudBOX

Con el fin de garantizar la seguridad y la velocidad, FlashStart también ofrece una aplicación exclusiva: la FlashStart CloudBOX, una caché que actúa como intermediario entre los usuarios y la nube de FlashStart, y está disponible tanto en hardware físico como a nivel virtual.

La CloudBOX almacena tanto las consultas DNS realizadas por los usuarios como las respuestas obtenidas del filtro de Internet, es decir, tanto los permisos otorgados como los denegados por la nube. Esto permite optimizar aún más los tiempos de resolución para solicitudes repetidas, independientemente de la ya muy baja latencia proporcionada por el filtro de Internet de FlashStart, cuya red Anycast se encuentra entre las más rápidas del mundo según www.dnsperf.com.

Además, la CloudBox de FlashStart le permite instalar resolvedores DoH internos, evitando los problemas de seguridad asociados con los DNS encriptados y garantizando una navegación segura.


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.