{"id":2201,"date":"2020-02-20T08:37:53","date_gmt":"2020-02-20T05:37:53","guid":{"rendered":"https:\/\/vasexperts-ru.hst11.itglobal.com\/blog\/%d0%b1%d0%b5%d0%b7-%d1%80%d1%83%d0%b1%d1%80%d0%b8%d0%ba%d0%b8\/dns-https-point-contention\/"},"modified":"2025-08-11T14:14:05","modified_gmt":"2025-08-11T11:14:05","slug":"dns-https-point-contention","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/es\/blog\/telecom\/dns-https-point-contention\/","title":{"rendered":"DNS over HTTPS: seguridad o complejidad en el funcionamiento"},"content":{"rendered":"El DNS over HTTPS (DoH) funciona encriptando las peticiones y respuestas del servidor DNS. Los nombres de los servidores remotos a los que accede el usuario mediante DoH est\u00e1n ocultos.\r\n\r\nEl motivo de la controversia es que una parte de la comunidad considera que el protocolo mejora la seguridad en Internet y ya lo est\u00e1 implementando en aplicaciones y servicios, pero otros dicen que crear\u00e1 una complejidad adicional para los administradores de sistemas.\r\n\r\nPara entender el conflicto, es necesario comprender c\u00f3mo funciona el DNS over HTTPS. Mientras que en el DNS normal el nombre del host y la direcci\u00f3n se transmiten de forma abierta, el protocolo DoH encapsula la solicitud de una direcci\u00f3n IP en el tr\u00e1fico HTTPS cifrado. A continuaci\u00f3n, se env\u00eda al servidor HTTP y se procesa mediante comandos de la API.\r\n\r\nHe aqu\u00ed un ejemplo de este tipo de solicitud del RFC 8484 (pag. 4<\/a>):\r\n
   :method = GET\r\n   :scheme = https\r\n   :authority = dnsserver.example.net\r\n   :path = \/dns-query?\r\n           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl\r\n           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z\r\n           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ\r\n   accept = application\/dns-message\r\n<\/pre>\r\nComo puede ver en el ejemplo, las solicitudes al DNS parecen ser an\u00f3nimas porque est\u00e1n ocultas en el tr\u00e1fico HTTPS.\r\n\r\n
El anonimato es bueno, pero \u00bfcu\u00e1l es el problema?<\/h2>\r\nSe dice que la primera raz\u00f3n para abandonar el DNS over HTTPS es la reducci\u00f3n de la seguridad en Internet. A los administradores de sistemas les resultar\u00e1 m\u00e1s dif\u00edcil bloquear los sitios maliciosos porque sus nombres no pueden extraerse del tr\u00e1fico HTTPS, y los usuarios normales perder\u00e1n el control parental en los navegadores de sus dispositivos.\r\n\r\nLa legislaci\u00f3n en el Reino Unido, as\u00ed como en Rusia, exige<\/a> a los proveedores de servicios de Internet que bloqueen los sitios prohibidos. El uso del protocolo DoH hace pr\u00e1cticamente imposible filtrar el tr\u00e1fico. El protocolo cuenta con la oposici\u00f3n del Centro de Comunicaciones del Gobierno Brit\u00e1nico (GCHQ) y la Fundaci\u00f3n de Vigilancia de Internet (IWF), cuya tarea es mantener un registro de recursos bloqueados.\r\n\r\nIncluso los sistemas modernos de filtrado de tr\u00e1fico, como el Stingray Service Gateway<\/a>, no pueden realizar un an\u00e1lisis completo del tr\u00e1fico HTTPS. Utilizan m\u00e9todos de clasificaci\u00f3n por nombre de servicio en el certificado SSL\/TLS (Common Name) o el Server Name Indication (SNI), as\u00ed como el an\u00e1lisis de firmas del flujo de tr\u00e1fico.\r\n\r\nEl segundo problema que plantea el uso de DNS over HTTPS es la aparici\u00f3n de nuevos programas maliciosos que se aprovechan de las caracter\u00edsticas del protocolo. Por ejemplo, en julio de este a\u00f1o, los expertos en seguridad de Netlab descubrieron<\/a> un nuevo virus llamado Godlua<\/a> que utiliza el DoH para realizar ataques DDoS. El malware DoH obtiene registros de texto DNS (TXT) y URLs de servidores de control.\r\n\r\nLa amenaza para la ciberseguridad es que las soluciones antivirus m\u00e1s conocidas no pueden reconocer las solicitudes de DoH encriptadas. Surgir\u00e1n m\u00e1s virus nuevos y la situaci\u00f3n empezar\u00e1 a empeorar.\r\n\r\n
Tambi\u00e9n hay ventajas<\/h2>\r\nEl nuevo protocolo tambi\u00e9n puede mejorar la ciberseguridad al luchar contra los ataques de secuestro de DNS<\/a>, cada vez m\u00e1s frecuentes. Un informe de la empresa de seguridad FireEye lo confirma<\/a>, y el protocolo tambi\u00e9n es apoyado por otras grandes empresas de TI.\r\n\r\nGoogle lleva probando el DoH desde el a\u00f1o pasado, y m\u00e1s recientemente General Availability present\u00f3<\/a> su servicio de DoH. Google considera que la distribuci\u00f3n de DoH aumentar\u00e1 la seguridad de los datos personales y proporcionar\u00e1 protecci\u00f3n contra los ataques MITM.\r\n\r\nPor su parte, Mozilla ha apoyado<\/a> el funcionamiento integral del DNS over HTTPS desde el verano pasado y ha estado apoyando activamente el protocolo. La Asociaci\u00f3n de proveedores Internet Services Providers Association (ISPA) nomin\u00f3<\/a> a Mozilla como \u00abvillano de Internet del a\u00f1o\u00bb por este motivo; los representantes del navegador respondieron<\/a> que estaban decepcionados por la tendencia de los proveedores de servicios a negarse a actualizar la infraestructura y \u00abmantenerse al d\u00eda\u00bb. Sin embargo, la candidatura fue retirada cuando los principales medios de comunicaci\u00f3n<\/a> y algunos proveedores de servicios de Internet se posicionaron a favor de Mozilla, con British Telecom diciendo que el nuevo protocolo s\u00f3lo mejorar\u00eda la seguridad de los usuarios brit\u00e1nicos y no afectar\u00eda a la calidad del filtrado de contenidos.\r\n\r\n