Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

ODoH

La semana pasada se anunció algo que probablemente para muchos haya pasado desapercibido.

Apple, junto a CloudFlare y un equipo de Fastly, presentaban Oblivious DNS-over-HTTPS (ODoH) (EN), un nuevo protocolo de comunicación que a priori permite disociar de forma completa las peticiones (por ejemplo, entrar en una página web) que hagamos desde nuestros dispositivos de nuestra dirección IP.

ODoH

Lo sintetizaba muy bien Enrique en un artículo (ES) reciente, así que para no repetir lo mismo prafraseo sus palabras, con algún que otro añadido de mi puño y letra:

En el funcionamiento normal de internet, las peticiones de información que hacemos son dirigidas a un servidor de nombres de dominio que las envía a la página correspondiente, de manera que no tengamos que memorizar direcciones numéricas y podamos, en su lugar, hacer referencia a ellas con las direcciones que manejamos habitualmente. Ese servidor de nombres de dominio, que para la mayoría de los usuarios suele ser el designado por su proveedor de acceso – salvo que lo hayan cambiado, por ejemplo, por el servidor de DNS de Google, por el de Cloudflare, por OpenDNS de Cisco o por algún otro servicio similar – podía, hasta hace muy poco, ver las peticiones de cada conexión, que no estaban cifradas.

Recientemente, el desarrollo de DNS over HTTPS (DoH) incorporó cifrado a esas peticiones, que ha sido además activada por defecto tanto por la Mozilla Foundation para usuarios de navegadores Firefox en los Estados Unidos como por Google en Chrome o dentro de MacOS e iOS. Sin embargo, el uso de DNS over HTTPS ha sido fuertemente criticado por muchos expertos por no representar una verdadera protección de la privacidad de los usuarios (no es el único protocolo implicado en la navegación) y por generar más problemas de los que resuelve (por ejemplo, en la seguridad corporativa).

Otra alternativa, DNS over TLS (DoT), un protocolo similar pero que cifra la conexión DNS directamente, en lugar de limitarse a ocultar el tráfico DNS dentro de HTTPS.

Ahora, además, se da un paso más: además de cifrar esa conexión para que el servidor de direcciones no pueda verlas, pasamos a disociarlas completamente de la información de la conexión que las ha generado, de manera que nadie, ni siquiera un proveedor de acceso, puede relacionarlas entre sí. El funcionamiento de ODoH se basa en agregar una capa de cifrado de clave pública y un proxy de red entre los clientes y los servidores que utilizan DoH, como es el caso de 1.1.1.1. La combinación de estos dos elementos agregados garantiza que solo el usuario tenga acceso tanto a los mensajes DNS como a su propia dirección IP al mismo tiempo.

Lo que quiere decir que pasamos de un entorno que no estaba cifrado, a otro que sí lo está, a otro que además de estarlo ocultaba parte del contenido de ese tráfico, para terminar en otro escenario en el que toda la información se trabaja en tres capas:

  • La página de destino, es decir, hacia donde navegamos, recibe únicamente una petición de consulta y la dirección IP del proxy.
  • El proxy, es decir, el intermediario, envía y recibe contenido cifrado y marcado, de manera que no puede editarlo y tampoco puede saber de qué se trata (ni tan siquiera a qué DNS corresponde).
  • La conexión del usuario, y por tanto su dispositivo y navegador, recibe la petición, pudiendo consultarla y por supuesto, si así lo desea, responderla, lo que vuelve a reiniciar el proceso.

Todo con un coste «marginal» a nivel de velocidad/ancho de banda, o al menos eso es lo que dicen sus creadores.

Un pasito más allá en eso de generar un tráfico red realmente cifrado y anónimo.

En un escenario de profundo abuso de nuestros datos personales, mientras más pasos demos en esta dirección, mejor. Para ti, para mi, y en definitiva para todos los usuarios.

Y, por cierto, otro ejemplo más de la importancia que CloudFlare ha tenido sin hacer mucho ruido para la evolución de Internet.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros