La AEPD alerta de los peligros de protección de datos del protocolo DNS
MADRID, 29 (Portaltic/EP)
La Asociación Española de Protección de Datos (AEPD) ha alertado sobre peligros de protección de datos que puede ocasionar el protocolo de Sistema de Nombres de Dominio (DNS) ya que, a través de sus consultas, expone los datos de navegación del usuario.
El protocolo DNS es el sistema de nomenclatura jerárquico y descentralizado que utilizan todos los dispositivos que están conectados a redes IP como Internet, y desde su desarrollo hace 35 años ha sido uno de los pilares del uso de la Red global.
La AEPD ha publicado este viernes un documento técnico dirigido a desarrolladores en el que explica que "como la mayoría de los protocolos de Internet, DNS se definió sin tener en cuenta la seguridad".
Esto puede tener un "impacto significativo sobre la privacidad de las personas", según el informe de la AEPD, ya que a través de las consultas al servidor DNS es posible obtener información del usuario como los hábitos de navegación y elaborar perfiles con ello.
El protocolo DNS ha recibido con el tiempo varias actualizaciones para mejorar la confidencialidad, entre las que se encuentran DoH, que utiliza el protocolo de seguridad HTTPS, y DoT, que emplea cifrado mediante TLS.
No obstante, DoT no está implementando aún en la mayoría de dispositivos, según la AEPD, y solo los navegadores web utilizan el protocolo DoH, lo que "las aplicaciones de los equipos y el propio sistema operativo siguen realizándose sin cifrar la comunicación".
Asimismo, la AEPD ha destacado que el cifrado por HTTPS supone también peligros, ya que por el sistema de consultas a servidores que utiliza "facilita al 'malware' el poder eludir mecanismos de detección" e incluso "puede dar una falsa sensación de seguridad" al permitir técnicas de 'fingerprinting' que pueden identificar el destino o analizar el tráfico web.
Como recomendaciones de seguridad, la asociación recomienda a la industria que implemente el protocolo alternativo DNSSEC, que introduce extensiones de seguridad, así como impulsar las consultas DNS cifradas e informar a los usuarios correctamente del uso de datos con DNS.