![](\"https:\/\/sophos.files.wordpress.com\/2019\/11\/microsoft.png\"\/)
<\/p>\nLos fan\u00e1ticos de la privacidad de DNS sobre HTTPS (DoH), deben sentirse como si un muro infranqueable comenzara a resquebrajarse.<\/p>\n
Mozilla Firefox y Cloudflare fueron los primeros<\/a> en adoptar esta nueva y controvertida forma de hacer que las consultas DNS fueran privadas mediante el cifrado, seguido poco despu\u00e9s por Google, que incorpor\u00f3 DoH a Chrome<\/a> como una configuraci\u00f3n no predeterminada.<\/p>\n Esta semana, un nombre a\u00fan m\u00e1s grande se uni\u00f3 a la fiesta, Windows 10. Microsoft anunci\u00f3<\/a> que integrar\u00e1 la capacidad de usar DoH, y eventualmente tambi\u00e9n su primo cercano DNS sobre TLS (DoT), en su cliente de red.<\/p>\n Parece que se acab\u00f3 el juego para los oponentes de DoH, principalmente ISPs que han expresad<\/a>o un gran n\u00famero de preocupaciones, algunas bastante ego\u00edstas (no podemos monetizar el tr\u00e1fico DNS que no podemos ver) y otras que tal vez merecen ser sopesadas (\u00bfc\u00f3mo filtraremos los dominios comprometidos?).<\/p>\n Las cosas se pusieron tan hiperb\u00f3licas que el verano pasado la Asociaci\u00f3n de ISP del Reino Unido (ISPA) incluso nomin\u00f3 a Mozilla para un premio de “Villano de Internet”<\/a> para castigar su entusiasmo por DoH antes de cambiar de idea<\/a> despu\u00e9s de una reacci\u00f3n p\u00fablica.<\/p>\n A principios de este mes, Mozilla tom\u00f3 represalias<\/a>, acusando a los ISP de tergiversar los argumentos t\u00e9cnicos sobre el DNS cifrado.<\/p>\n Ya hemos explicado c\u00f3mo funcionan DoH y DoT en art\u00edculos anteriores<\/a>, pero lo esencial es que cifran las consultas que un ordenador hace a los servidores DNS de manera que los intermediarios como ISP y los gobiernos no pueden ver f\u00e1cilmente qu\u00e9 sitios web est\u00e1n siendo visitados.<\/p>\n Otra forma de pensar es que DoH extiende los beneficios de la seguridad HTTPS al tr\u00e1fico DNS. Si bien no es perfectamente privado (los datos a\u00fan se filtran a trav\u00e9s de cosas como la Indicaci\u00f3n del Nombre del Servidor), es mejor que enviar consultas DNS sin cifrar.<\/p>\n De hecho, DoT tiene algunas ventajas sobre DoH, pero requiere que los puertos se abran en routers \/ firewalls. DoH es indistinguible del tr\u00e1fico de navegaci\u00f3n web normal, mientras que DoT se ejecuta en su propio carril, lo que facilita el bloqueo o el filtrado, y requiere que los usuarios configuren m\u00e1s configuraciones para que funcione.<\/p>\n Debido a que DoH incluye HTTPS, simplemente funciona de inmediato, siempre y cuando el software del cliente lo admita. Es por eso que la integraci\u00f3n de Windows 10, sea cuando sea que se realice, es importante.<\/p>\n Dado que el soporte DoH ya est\u00e1 activado en Firefox (que usa la resoluci\u00f3n Cloudflare) y Chrome de Google (que usa su propio DNS), \u00bfqu\u00e9 a\u00f1ade la integraci\u00f3n de Windows 10?<\/p>\n La respuesta es que podr\u00eda ayudar a descentralizar la provisi\u00f3n de DNS cifrado.<\/p>\n Hoy en d\u00eda, el sistema DNS sin cifrar est\u00e1 altamente descentralizado, lo que es bueno para la estabilidad (sin un solo punto de falla) y algunos aspectos de la seguridad (el filtrado DNS se usa para bloquear sitios mal\u00e9volos). Cualquiera que dude de la importancia de evitar puntos \u00fanicos de falla podr\u00eda considerar el ataque Dyn DDoS de 2016<\/a>, que caus\u00f3 interrupciones importantes de Internet causadas por atacar solo a un proveedor.<\/p>\n Incluso los usuarios que cambian de la resoluci\u00f3n DNS de su ISP a alternativas p\u00fablicas como 8.8.8.8\/8.8.4.4 de Google por razones de rendimiento ahora tienen muchas opciones.<\/p>\n Pero si DoH o DoT terminan siendo activados por defecto en los navegadores, la resoluci\u00f3n de DNS podr\u00eda reducirse r\u00e1pidamente a un peque\u00f1o n\u00famero de proveedores, lo que a su vez podr\u00eda terminar siendo malo para la privacidad.<\/p>\n Seg\u00fan Microsoft, la integraci\u00f3n de DNS cifrado dentro de Windows es una forma de combatir esto y aferrarse a los beneficios de la descentralizaci\u00f3n:<\/p>\n Muchos suponen que el cifrado de DNS requiere la centralizaci\u00f3n de DNS. Esto solo es cierto si la adopci\u00f3n de DNS cifrado no es universal. Para mantener el DNS descentralizado, ser\u00e1 importante que los sistemas operativos del cliente (como Windows) y los proveedores de servicios de Internet <\/em>adopten ampliamente el DNS cifrado<\/em><\/a>.<\/em><\/p>\n Sin embargo, habiendo decidido adoptar el DNS cifrado, Microsoft admite que todav\u00eda hay problemas t\u00e9cnicos que resolver.<\/p>\n Por ejemplo, Windows no anular\u00e1 los valores predeterminados establecidos por el usuario o el administrador sin dejar de guiarse por algunas reglas b\u00e1sicas de privacidad:<\/p>\n Dado que el DNS cifrado ha surgido del IETF, los ISP ya deben saber que est\u00e1n librando una batalla perdida.<\/p>\n Aunque se desarrolla gradualmente, el cambio a un mundo en l\u00ednea m\u00e1s privado parece estar en marcha, les guste o no a sus oponentes. La batalla ahora es estar dentro de este cambio o arriesgarse a quedar bloqueado para siempre.<\/p>\n<\/p><\/div>\nHTTPS piggybacking<\/h2>\n
Recentralizaci\u00f3n<\/h2>\n
\n