DNS Sobre Https (DoH)

El objetivo de esta publicación es explicar cómo funciona DNS Sobre Https, cuáles son sus ventajas sobre el sistema de nombres de dominio tradicional en términos de privacidad del usuario, pero también cómo los hackers lo explotan cada vez más para llevar a cabo ataques cibernéticos y qué pueden hacer las organizaciones. para defenderse de tales ataques.

1. ¿Qué es DNS Sobre Https?

DNS sobre HTTPS (en resumen: DoH) es un protocolo de nueva generación que permite a los usuarios de Internet realizar la resolución remota del Sistema de nombres de dominio (DNS) utilizando el protocolo HTTPS. En comparación con el DNS tradicional, se considera aparentemente más seguro, especialmente porque ayuda a proteger la privacidad del usuario. Sin embargo, casi todos los operadores de ISP y WISP han expresado fuertes críticas por su rendimiento ya que, en comparación con el tradicional y muy rápido DNS sobre el protocolo UDP, obtiene resultados de rendimiento mucho más bajos.

2. ¿Como funciona DNS Sobre Https?

Con un DNS tradicional, su búsqueda en Internet funciona así:
» Escribe la dirección web del sitio web al que desea acceder en la barra de direcciones del navegador.
» El navegador envía una solicitud a través de Internet para recuperar la dirección IP del sitio web que ha elegido.
» La solicitud se envía mediante una conexión de texto sin formato, que no está cifrada. Esto significa que es fácil para terceros escuchar a escondidas y ver qué sitio web está intentando acceder.

Con DNS Sobre Https, su búsqueda en Internet funcionará de manera un poco diferente: en lugar de usar una conexión de texto sin formato, el navegador enviará el nombre del sitio web que escribió a HTTPS a través de una conexión cifrada. Con una conexión encriptada, los terceros aparentemente no podrán espiar a qué sitio web desea acceder. Pero el gestor del servicio DoH, sobre todo si es público, conocerá nuestras preferencias y podrá realizar muestreos con fines de marketing y publicidad.

2.1 ¿Cuándo surgió DNS Sobre Https?

El protocolo DNS Sobre Https es relativamente reciente. En octubre de 2018, el IETF publicó el documento RFC8484, que define el estándar propuesto. El IETF es el Grupo de trabajo de ingeniería de Internet, una comunidad internacional abierta de diseñadores, operadores e investigadores de redes que realizan I+D en el ámbito de la evolución de la arquitectura de Internet.

El documento RFC8484 representa el consenso de la comunidad IETF sobre el nuevo protocolo. Según lo informado por el documento: DoH encripta el tráfico DNS y requiere autenticación del servidor. Esto mitiga tanto la vigilancia pasiva [RFC7258] como los ataques activos que intentan desviar el tráfico de DNS a servidores no autorizados”.

3. DNS Sobre Https: ¿Realmente significa “mejor seguridad?

Como se mencionó anteriormente, el objetivo del protocolo DNS Sobre Https es aumentar la privacidad y seguridad del usuario. Pero, ¿cómo logra alcanzar este objetivo? A diferencia de un sistema DNS tradicional, DoH no utiliza el puerto 53 del DNS para solicitar el nombre del sitio web a través de un paquete UDP (Protocolo de datagramas de usuario) o TCP (Protocolo de control de transmisión).

Más bien, el protocolo DoH codifica una sola consulta DNS en una solicitud Http a través del método Https GET o POST:
» Con el método POST, el mensaje de la solicitud Http incluirá la consulta DNS;
» Con el método GET, la única variable “dns” se define como el contenido del DNS.

El protocolo DNS Sobre Https cifra el tráfico DNS. De esta forma, se mitiga tanto la vigilancia pasiva como la manipulación de datos DNS mediante ataques intermedios. Además, usar el puerto 443, que es el puerto predeterminado para Https, y mezclar el tráfico DoH con otro tráfico Https en la misma conexión ayuda a disuadir los intentos de terceros de interferir con las operaciones de DNS. Como resultado de esto, el análisis del tráfico de DNS también será más difícil, en teoría.

Exactamente debido a su transmisión clara, el servicio DoH permite a los usuarios superar fácilmente los filtros de navegación (a menos que esté presente una protección específica en el DoH, que proporciona FlashStart) y, por lo tanto, ser vulnerable durante la navegación web.

De hecho, DoH representa un problema real para los administradores de redes y gerentes de conectividad, quienes deben repensar por completo la seguridad y el filtrado del acceso a Internet para sus usuarios.

Imaginemos por ejemplo una empresa con 100 puestos de trabajo, que se encuentra sin control alguno sobre la navegación por Internet. Los usuarios disfrutarán de acceso gratuito a sitios web maliciosos, contenidos inadecuados, contenidos violentos y muchas veces ilegales, y la empresa no podrá impedir nada de esto.

Existen rutas y resoluciones bien definidas que permiten a los usuarios “forzar” el protocolo DNS clásico y establecer, dentro de la red LAN, una resolución de nombre segura, sin exponer los datos al exterior. Sin embargo, a día de hoy, gobernar DoH en las redes de organizaciones públicas y privadas representa una bandera roja muy importante, estratégica para la seguridad de los datos, la infraestructura y los usuarios.

4. Además… DoH ofrece a los hackers nuevas oportunidades

Como ya es costumbre, tan pronto como un nuevo protocolo, desarrollo o aplicación está disponible, los piratas informáticos comienzan a estudiar la nueva herramienta y analizarla para comprender si pueden usarla para llevar a cabo un ciberataque. Y más que si, se trata más bien de entender cómo pueden hacerlo, encontrando una vulnerabilidad en el sistema y explotándola en su beneficio.

El protocolo DNS Sobre Https no ha sido una excepción a la regla. A estas alturas, la mayoría de las organizaciones tienen, entre sus sistemas de protección de Internet, un filtro de contenido de Internet. El filtro de contenido de Internet mantiene listas de denegación (o listas negras), que contienen los detalles de dominios maliciosos conocidos cuyo acceso debe bloquearse.

Para obtener más información sobre cómo funcionan los filtros de contenido de Internet, consulte nuestro artículo dedicado.

Por lo general, si la solicitud de DNS es hacia un sitio web peligroso, aparecerá un mensaje de alerta para el usuario. Sin embargo, con DoH, dado que las solicitudes de DNS están encriptadas, se vuelve mucho más difícil identificar solicitudes tan peligrosas, lo que genera un nuevo problema de seguridad. Además, las principales vulnerabilidades hoy en día se refieren a los servidores web: piense en el reciente exploit «Log4Shell», que corre el riesgo de comprometer la red de Internet a nivel global (más sobre esto aquí: https://flashstart.com/it/bug-log4j/).

5. Los primeros ataques

5.1 Godula

El primer caso informado de un ciberataque llevado a cabo utilizando el protocolo DNS Sobre Https data del 1 de julio de 2019, es decir, nueve meses después de que el IETF publicara su documento que define el nuevo estándar. El nombre del malware era Godula y explotó DoH en su segunda y tercera fase para obtener la dirección de los servidores de comando y control objetivo.

En este caso, el archivo de código de bytes de Lua se usó para almacenar el registro DNS TXT en texto sin formato. Luego, el malware envió una solicitud utilizando el protocolo DoH para obtener el resultado del DNS TXT.

5.2 PsiXBot

Posteriormente en 2019, durante el mes de septiembre, se identificó el segundo caso de malware utilizando DoH. El nombre del malware es PsiXBot y en realidad es un malware más antiguo, que llamó la atención de la comunidad de TI por primera vez en 2017 y probablemente fue creado por un grupo de piratas informáticos rusos. PsiXBot, que nació como un simple troyano, con el tiempo evolucionó hasta convertirse en una entidad de malware completa, capaz de comprometer redes enteras.

Las últimas versiones del malware le permitieron activar la cámara web y el micrófono en las computadoras de los usuarios que estaban reproduciendo contenido pornográfico, lo cual es otra razón más por la cual las organizaciones deben proteger las computadoras portátiles de sus empleados con un filtro de contenido de Internet que puede permanecer activo incluso cuando el dispositivo está fuera de la red de la empresa.

PsiXBot contenía dominios de comando y control, que se cifraron con RC4. Para recuperarlos, explotó el servicio Google DoH.

5.3 Oilrig

A fines de julio de 2020, Oilrig fue el primer grupo de piratas informáticos identificado por usar el protocolo DoH en sus ataques. Oilrig usó una herramienta de código abierto, Exfiltración de DNS, para manejar, mover y filtrar datos.

6. ¿Qué pueden hacer las organizaciones contra los ataques de DoH?

Existen varias medidas genéricas que las empresas y organizaciones pueden tomar para contrastar ataques basados ​​en el protocolo DNS Sobre Https. Éstas incluyen:
» Controle los endpoints de DoH y el tráfico que pasa por ellos;
» Instale resolutores DoH internos, como el nuevo FlashStart “Cloud Box”, que estará disponible en breve;
» Supervisar el uso de DoH para identificar los tipos de contenido “application/dns-jason” o “application/dns-message”;
» Verificar el tráfico saliente en busca de tamaños de paquetes anormales.

7. Para concluir

El servicio DNS Sobre Https permite a los atacantes ocultar las consultas DNS de los dominios de comando y control. Si las organizaciones no inspeccionan su tráfico continuamente, los ataques que explotan DoH pueden pasar desapercibidos. Todavía queda mucho por hacer en investigación y desarrollo para proteger a las organizaciones y a los usuarios de Internet de esta amenaza emergente y de rápido crecimiento

Es por ello que, a día de hoy, el uso del protocolo DoH en entornos profesionales está muy desaconsejado y se considera peligroso para la seguridad en Internet. También uno de los padres fundadores de varios RFC para Internet y numerosos softwares de código abierto, Paul Vixie, está firmemente en contra del uso de DoH.


FlashStart es una herramienta segura y confiable para navegar en línea tanto en las instalaciones como de forma remota durante el Smart Working.
Solicite un presupuesto ahora y comience su prueba gratuita de inmediato.


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Artículos relacionados