Su enrutador realiza solicitudes de DNS mientras navega por la web. Sin embargo, de forma predeterminada, su ISP ve todas sus búsquedas y direcciones web. Puede cambiar su configuración de DNS para mayor seguridad y privacidad.
¿Qué es un servidor DNS?
Un servidor DNS (Sistema de nombres dinámicos) es un servicio que traduce automáticamente direcciones web legibles por humanos en direcciones IP. Esto es importante porque, en su hogar y en Internet, cada dispositivo de red tiene una dirección IP. Usar direcciones IP como humanos sería tedioso. Incluso si pudiéramos recordarlos, los escribiríamos mal. Por eso se ideó el Sistema de Nombres de Dominio.
Cuando intenta conectarse a un sitio web, su enrutador verifica si los detalles de ese sitio están en su caché. De lo contrario, realiza una solicitud de DNS enviando el nombre de dominio del sitio web a un servidor DNS. El servidor DNS busca el nombre de dominio, encuentra la dirección IP y la envía de regreso a su enrutador para que pueda intentar conectarse al servidor web que aloja el sitio web.
En realidad, es más complicado. De forma predeterminada, el servidor DNS al que se conecta su enrutador es un servidor precursor de DNS proporcionado por su proveedor de servicios de Internet.
Relacionado: Cómo solucionar el “bloqueo de red de tráfico DNS cifrado” en iPhone
Si el servidor precursor no guarda los detalles del sitio web en su propia caché, envía una solicitud a un servidor de nombres raíz DNS. El servidor de nombres raíz responde al servidor precursor con una lista de servidores de dominio de nivel superior que pueden manejar el dominio de nivel superior (.COM, .INFO, .ORG, etc.) del sitio web solicitado. El servidor precursor repite su solicitud a uno de los servidores de dominio de nivel superior de esa lista.
El servidor de dominio de nivel superior responde con el nombre de un servidor de nombres DNS autorizado que realmente contiene los detalles del dominio. Luego, el servidor precursor realiza su solicitud una vez más al servidor de nombres autorizado para finalmente obtener la dirección IP.
En nuestro ejemplo, la persona intentaba acceder a un sitio web, pero lo mismo ocurre con cualquier recurso web identificado por un nombre de dominio, como un servidor de correo electrónico.
DNS, seguridad y privacidad
El uso del servidor DNS predeterminado de su ISP tiene implicaciones para la privacidad y la seguridad.
Los datos de las solicitudes de DNS no están cifrados, incluso si algunos de los metadatos adjuntos sí lo están. Un ataque de intermediario o un empleado entrometido de su ISP puede exponer y revisar su actividad en línea muy fácilmente. Eso ya es bastante malo, pero usar el servidor DNS de un ISP también puede debilitar su seguridad.
Algunos de los ciberataques centrados en DNS más comunes son:
- Denegación de servicio distribuida: Esto crea una avalancha de solicitudes falsas que abruman al servidor DNS, dejándolo incapaz de atender solicitudes genuinas.
- Suplantación/envenenamiento de DNS: Esto crea respuestas DNS falsas y maliciosas sobre las que actúa su enrutador. Los ciberdelincuentes pueden enviar a los usuarios a sitios web fraudulentos en lugar de a sitios web auténticos. Pueden ser sitios web de phishing que recopilan credenciales de inicio de sesión.
- Secuestro de DNS: El malware infecta su computadora y cambia la configuración y el comportamiento de TCP/IP para que las solicitudes de DNS se redirijan a los servidores DNS fraudulentos de los ciberdelincuentes. Estos redirigen las solicitudes web a phishing u otros sitios web maliciosos.
- Secuestro de Dominio: Esta es una forma de ataque más rara. Requiere cambiar los detalles en los sistemas del registrador de dominios, de modo que los detalles almacenados de un sitio web legítimo apunten a un sitio web falso.
No existe una seguridad real en el DNS estándar. Todo lo que puede hacer es comprobar que la respuesta de un servidor descendente proviene de la misma dirección IP a la que se envió la solicitud. Es algo, pero no es exhaustivo.
El Extensiones de seguridad del sistema de nombres de dominio, o DNSSEC, se desarrollaron para agregar firmas digitales a las solicitudes de DNS. Estos permiten a los servidores DNS comprobar que los datos que reciben definitivamente provienen de donde dicen venir. Esto se llama autenticación del origen de los datos. Además de eso, el receptor puede verificar que los datos no hayan sido modificados durante el tránsito. Esto se llama protección de la integridad de los datos.
DNS sobre HTTPS, DoH, es un nuevo protocolo que cifra las solicitudes de DNS y el tráfico entre servidores. Sin embargo, las solicitudes DNS registradas y almacenadas en caché no están cifradas. Sólo están cifrados en tránsito. Y, por supuesto, la mayoría de los ISP registran todo lo que pueden y no todos admiten DNSSEC y DoH.
Relacionado: La guía definitiva para cambiar su servidor DNS
Los mejores servidores DNS para una navegación segura
Los servidores DNS públicos serán más privados, más seguros y más rápidos que la oferta predeterminada de su ISP. Aquí hay cinco de los mejores servidores DNS que recomendamos:
Inicio DNS abierto
- DNS primario: 208.67.222.222
- DNS secundario: 208.67.220.220
OpenDNS fue comprado por cisco en 2015. La parte “Abrir” significa que acepta solicitudes de DNS desde cualquier lugar. No tiene nada que ver con el código abierto. OpenDNS tiene niveles gratuitos y de pago.
Cisco construyó su nombre gracias a sus conocimientos y productos de redes de alta gama. Cisco sabe tanto sobre redes y enrutamiento de tráfico como cualquier empresa del planeta. Tiene presencia global y ofrece un servicio DNS sólido.
OpenDSN Home admite DoH y DNSSEC. También viene con filtrado de contenido y protección contra malware/phishing. No puedes optar por no participar. Tienes cierto control sobre su configuración, pero no tanto como en uno de sus niveles pagos.
Quizás lo más preocupante es que los registros de OpenDNS sus consultas de DNS, su dirección IP y másy coloca lo que llama “balizas web” en las páginas que ha visitado.
OpenDNS es rápido y seguro, pero sus preocupaciones sobre la privacidad desanimarán a algunos.
DNS público de Google
- DNS primario: 8.8.8.8
- DNS secundario: 8.8.4.4
DNS público de Google es gratuito para todos, incluido el uso empresarial. Es un servicio robusto y confiable con tiempos de respuesta rápidos. Y, por supuesto, puedes estar seguro de que Google no desaparecerá.
El DNS público de Google admite muchos protocolos de búsqueda, incluido DNS sobre HHTPS, y también admite DNSSEC. También incluye cierta protección contra ataques DDoS.
El único problema con DNS de Google es google. Todo el mundo sabe que genera ingresos recopilando datos y utilizándolos para orientar la publicidad. También comparte los datos, mediante una tarifa, con terceros. Por lo tanto, Google obtiene una puntuación alta en solidez y seguridad, pero no tanto en privacidad.
Google dice que los datos que recopila son anónimos, sin información de identificación personal, por lo que es posible que eso no le moleste. Si ya utiliza productos de Google como Gmail, Android o el motor de búsqueda web de Google, Google no aprenderá mucho más sobre usted de lo que ya sabe.
Pero, si prefiere no involucrarse con su maquinaria corporativa de “gran tecnología, big data, hermano mayor”, Google no será para usted.
Llamarada de nube
- DNS primario: 1.1.1.1
- DNS secundario: 1.0.0.1
Llamarada de nube es mejor conocido como proveedor de redes de entrega de contenido, que comparten la carga del tráfico del sitio web en instancias distribuidas reflejadas y protegen contra ataques DDoS de prácticamente cualquier magnitud.
tiene el rendimiento DNS más rápido y se compromete públicamente a no registrar nunca su dirección IP y a eliminar los registros operativos cada 24 horas. Esto es verificado independientemente por KPMG.
No incluye filtrado y bloqueo de contenido de forma predeterminada, pero puedes tenerlo si lo deseas. Para habilitarlo, solo necesita usar los servidores DNS primarios y secundarios alternativos de Cloudflare.
El DNS de Cloudflare puede ser complicado de configurar y el sitio web de Cloudflare no es el más intuitivo para navegar. Sin embargo, una vez que se está ejecutando, estará en el DNS más rápido que existe, con la ventaja de que respeta su privacidad.
DNSWatch
- DNS primario: 84.200.69.80
- DNS secundario: 84.200.70.40
DNSWatch dice que admite la neutralidad de la red y no intenta filtrar ningún contenido con sus servidores DNS. Tampoco registra consultas de DNS ni historial de usuario. DNSWatch nunca compartirá ni venderá sus datos porque no recopila ninguno.
Es compatible con DNSSEC y DoH, pero cualquier otra cosa, como la protección contra sitios de phishing o sitios de malware, depende de usted. Una cosa que sí promueve es su negativa a secuestrar solicitudes fallidas.
Normalmente, un ISP le enviará a una página de búsqueda patrocinada si el sitio al que intenta acceder no responde. Todo lo que ingresa a ese sitio es registrado por su ISP. DNSWatch no hace eso, le muestra la página predeterminada de mala conexión de su navegador.
cuádruple9
- DNS primario: 9.9.9.9
- DNS secundario: 149.112.112.112
A pesar de quad9 Su sede está en Europa y tiene 183 grupos de solucionadores de DNS en 90 países de todo el mundo. Es un servicio gratuito. Sus servidores registran datos de transacciones y rendimiento, pero no información de identificación personal. Registra marcas de tiempo, protocolos de transporte, dominios solicitados y su geolocalización, etc.
De forma predeterminada, ofrece seguridad más allá de DNSSEC y DoH, al bloquear sitios web malos conocidos que albergan malware o recopilan credenciales de usuario. La lista de sitios bloqueados se recopila de más de 20 Fuentes de inteligencia pública y comercial. No filtra ni bloquea contenido, anuncios ni rastreadores web, solo sitios web maliciosos.
Si no desea habilitar este bloqueo, puede usar sus direcciones IP primarias y secundarias alternativas.
En términos de velocidad, el tiempo de respuesta promedio de Quad9 es de 21 ms y tiene un tiempo de actividad del 99,94%. Google y Cloudflare tienen tiempos de respuesta en la región de 10 ms, que es donde sobresalen: velocidad bruta. Sin embargo, 21 mS sigue siendo increíblemente rápido. En funcionamiento normal, no notarás ninguna diferencia entre los dos.
Pruébalos; Están libres
Debido a que todos estos proveedores tienen servicios DNS gratuitos, puedes elegir uno y probarlo. O prueba con varios. Tenemos guías que cubren una variedad de plataformas:
Sólo recuerde que la seguridad y la privacidad no son lo mismo y que no todos los proveedores de DNS siempre les prestan la misma atención.
