Su enrutador realiza solicitudes de DNS mientras navega por la web. Sin embargo, de forma predeterminada, su ISP ve todas sus búsquedas y direcciones web. Puede cambiar la configuración de DNS para aumentar la seguridad y la privacidad.
¿Qué es un servidor DNS?
Un servidor DNS (Dynamic Name System) es un servicio que traduce automáticamente las direcciones web legibles por humanos en direcciones IP. Eso es importante porque, en su hogar y en Internet, cada dispositivo de red tiene una dirección IP. Usar direcciones IP como humanos sería tedioso. Incluso si pudiéramos recordarlos, los escribiríamos mal. Es por eso que se ideó el Sistema de Nombres de Dominio.
Cuando intenta conectarse a un sitio web, su enrutador verifica si los detalles de ese sitio están en su caché. De lo contrario, realiza una solicitud de DNS enviando el nombre de dominio del sitio web a un servidor DNS. El servidor DNS busca el nombre de dominio, encuentra la dirección IP y la envía de regreso a su enrutador para que pueda intentar conectarse al servidor web que aloja el sitio web.
En realidad, es más complicado. De forma predeterminada, el servidor DNS al que se conecta su enrutador es un servidor precursor de DNS proporcionado por su proveedor de servicios de Internet.
Si el servidor precursor no guarda los detalles del sitio web en su propio caché, envía una solicitud a un servidor de nombres raíz DNS. El servidor de nombres raíz responde al servidor precursor con una lista de servidores de dominio de nivel superior que pueden manejar el dominio de nivel superior (.COM, .INFO, .ORG, etc.) del sitio web solicitado. El servidor precursor repite su solicitud a uno de los servidores de dominio de nivel superior en esa lista.
El servidor de dominio de nivel superior responde con el nombre de un servidor de nombres autorizado de DNS que en realidad contiene los detalles del dominio. El servidor precursor luego hace su solicitud una vez más, al servidor de nombres autorizado, para finalmente obtener la dirección IP.
En nuestro ejemplo, la persona estaba tratando de llegar a un sitio web, pero lo mismo se aplica a cualquier recurso web identificado por un nombre de dominio, como un servidor de correo electrónico.
DNS, seguridad y privacidad
El uso del servidor DNS predeterminado de su ISP tiene implicaciones para la privacidad y la seguridad.
Los datos en las solicitudes de DNS no están encriptados, incluso si algunos de los metadatos adjuntos lo están. Un ataque de intermediario o un empleado entrometido de su ISP puede exponer y revisar su actividad en línea muy fácilmente. Eso es bastante malo, pero usar el servidor DNS de un ISP también puede debilitar su seguridad.
Algunos de los ciberataques centrados en DNS más comunes son:
- Denegación de servicio distribuida: Esto crea una avalancha de solicitudes falsas que abruman al servidor DNS, lo que hace que no pueda atender las solicitudes genuinas.
- Suplantación/envenenamiento de DNS: Esto crea respuestas DNS falsas y maliciosas sobre las que actúa su enrutador. Los ciberdelincuentes pueden enviar a los usuarios a sitios web fraudulentos en lugar de sitios web genuinos. Estos pueden ser sitios web de phishing que recopilan credenciales de inicio de sesión.
- Secuestro de DNS: El malware infecta su computadora y cambia la configuración y el comportamiento de TCP/IP para que las solicitudes de DNS se redirijan a los servidores DNS fraudulentos de los ciberdelincuentes. Estos redirigen las solicitudes web a phishing u otros sitios web maliciosos.
- Secuestro de dominio: Esta es una forma de ataque más rara. Requiere cambiar los detalles en los sistemas del registrador de dominios, para que los detalles almacenados de un sitio web legítimo apunten hacia un sitio web falso.
No hay seguridad real en el DNS estándar. Todo lo que puede hacer es verificar que la respuesta de un servidor descendente provenga de la misma dirección IP a la que se envió la solicitud. Es algo, pero no es exhaustivo.
Las extensiones de seguridad del sistema de nombres de dominio, o DNSSEC, se desarrollaron para agregar firmas digitales a las solicitudes de DNS. Estos permiten a los servidores DNS verificar que los datos que reciben definitivamente provienen de donde afirman provenir. Se llama autenticación de origen de datos. Además de eso, el receptor puede verificar que los datos no hayan sido modificados en tránsito. Se llama protección de la integridad de los datos.
DNS sobre HTTPS, DoH, es un nuevo protocolo que cifra las solicitudes de DNS y el tráfico entre servidores. Sin embargo, las solicitudes de DNS registradas y almacenadas en caché no están cifradas. Solo están encriptados en tránsito. Y, por supuesto, la mayoría de los ISP registran todo lo que pueden y no todos son compatibles con DNSSEC y DoH.
RELACIONADO: La guía definitiva para cambiar su servidor DNS
Los mejores servidores DNS para la navegación segura
Los servidores DNS públicos serán más privados, más seguros y más rápidos que la oferta predeterminada de su ISP. Aquí hay cinco de los mejores servidores DNS que recomendamos:
Inicio de DNS abierto
- DNS primario: 208.67.222.222
- DNS secundario: 208.67.220.220
Cisco compró OpenDNS en 2015. La parte «Abierto» significa que acepta solicitudes de DNS desde cualquier lugar. No tiene nada que ver con el código abierto. OpenDNS tiene niveles de pago y gratuitos.
Cisco construyó su nombre sobre la base de conocimientos y productos de redes de primera línea. Cisco sabe tanto sobre redes y enrutamiento de tráfico como cualquier empresa del planeta. Tiene presencia global y ofrece un servicio de DNS sólido como una roca.
OpenDSN Home es compatible con DoH y DNSSEC. También viene con filtrado de contenido y protección contra malware/phishing. No puede optar por no participar. Tiene cierto control sobre su configuración, pero no tanto como en uno de sus niveles pagos.
Quizás lo más preocupante es que OpenDNS registra sus consultas de DNS, su dirección IP y más, y coloca lo que llama «balizas web» en las páginas que ha visitado.
OpenDNS es rápido y seguro, pero sus problemas de privacidad serán un desvío para algunos.
DNS público de Google
- DNS primario: 8.8.8.8
- DNS secundario: 8.8.4.4
El DNS público de Google es gratuito para todos, incluido el uso empresarial. Es un servicio robusto y confiable con tiempos de respuesta rápidos. Y, por supuesto, puede estar seguro de que Google no desaparecerá.
El DNS público de Google admite muchos protocolos de búsqueda, incluido DNS sobre HHTPS, y también admite DNSSEC. También incluye cierta protección contra ataques DDoS.
El único problema con el DNS de Google es Google. Todo el mundo sabe que genera ingresos al recopilar datos y usarlos para orientar la publicidad. También comparte los datos, por una tarifa, con terceros. Por lo tanto, Google obtiene una puntuación alta en robustez y seguridad, pero no tanto en privacidad.
Google dice que los datos que recopila son anónimos, sin información de identificación personal, por lo que es posible que no le moleste. Si ya usa productos de Google como Gmail, Android o el motor de búsqueda web de Google, Google no aprenderá mucho más sobre usted de lo que ya sabe.
Pero, si prefiere no comprometerse con su maquinaria corporativa de «grandes tecnologías, grandes datos, hermano mayor», Google no será para usted.
Llamarada de la nube
- DNS primario: 1.1.1.1
- DNS secundario: 1.0.0.1
Cloudflare es mejor conocido como un proveedor de redes de entrega de contenido, que comparte la carga del tráfico del sitio web a través de instancias distribuidas duplicadas y protege contra ataques DDoS de prácticamente cualquier magnitud.
Tiene el rendimiento de DNS más rápido y se compromete públicamente a no registrar nunca su dirección IP y eliminar los registros operativos cada 24 horas. Esto es verificado independientemente por KPMG.
No incluye filtrado y bloqueo de contenido de forma predeterminada, pero puede tenerlo si lo desea. Para habilitarlo, solo necesita usar los servidores DNS primario y secundario alternativos de Cloudflare.
El DNS de Cloudflare puede ser complicado de configurar, y el sitio web de Cloudflare no es el más intuitivo para navegar. Sin embargo, una vez que se está ejecutando, estás en el DNS más rápido que existe, con la ventaja de que respeta tu privacidad.
DNSWatch
- DNS primario: 84.200.69.80
- DNS secundario: 84.200.70.40
DNSWatch dice que admite la neutralidad de la red y no intenta filtrar ningún contenido con sus servidores DNS. Tampoco registra ninguna consulta DNS o historial de usuario. DNSWatch nunca compartirá ni venderá sus datos porque no recopila ninguno.
Es compatible con DNSSEC y DoH, pero cualquier otra cosa, como la protección contra sitios de phishing o sitios de malware, depende de usted. Una cosa que promueve es su negativa a secuestrar solicitudes fallidas.
Por lo general, un ISP lo enviará a una página de búsqueda patrocinada si el sitio al que intenta acceder no responde. Todo lo ingresado en ese sitio es registrado por su ISP. DNSWatch no hace eso, le muestra la página de mala conexión predeterminada de su navegador.
Quad9
- DNS primario: 9.9.9.9
- DNS secundario: 149.112.112.112
Aunque la sede de Quad9 se encuentra en Europa, cuenta con 183 clústeres de resolución de DNS en 90 países de todo el mundo. Es un servicio gratuito. Sus servidores registran datos de transacciones y rendimiento, pero no información de identificación personal. Registra marcas de tiempo, protocolos de transporte, dominios solicitados y su geolocalización, etc.
De forma predeterminada, ofrece seguridad más allá de DNSSEC y DoH, al bloquear sitios web maliciosos conocidos que albergan malware o recolectan credenciales de usuario. La lista de sitios bloqueados se obtiene de más de 20 fuentes de inteligencia pública y comercial. No filtra ni bloquea contenido, anuncios o rastreadores web, solo sitios web maliciosos.
Si no desea habilitar este bloqueo, puede usar sus direcciones IP primarias y secundarias alternativas.
En términos de velocidad, el tiempo de respuesta promedio de Quad9 es de 21 ms y tiene un tiempo de actividad del 99,94 %. Google y Cloudflare tienen tiempos de respuesta en la región de 10 mS, que es donde sobresalen: velocidad bruta. Sin embargo, 21mS sigue siendo increíblemente rápido. En funcionamiento normal, no notará ninguna diferencia entre los dos.
Pruébalos; Están libres
Debido a que todos estos proveedores tienen servicios de DNS gratuitos, puede elegir uno y probarlo. O prueba varios. Tenemos guías que cubren una variedad de plataformas:
Solo recuerde que la seguridad y la privacidad no son lo mismo, y no siempre todos los proveedores de DNS les prestan la misma atención.