DNS4EU y su falta de transparencia: alternativas más éticas y confiables

Hace cuatro meses se anunciaba con júbilo el nuevo servicio de DNS cofundado por la Unión Europea, DNS4EU. Se define como una solución europea conforme a la privacidad y segura por diseño.

¿Es la mejor opción para quien quiere un DNS que cuide la privacidad? Creo que no.

¿Qué es DoH y DoT y porqué es tan importante usarlo?

DoH responde al acrónimo de DNS over HTTPS y DoT a DNS over TLS. Ambos son formas de usar un servicio de DNS cuidando que nuestras peticiones estén encriptadas.

El DNS es la columna vertebral de la WWW, aunque no de Internet en su conjunto. Nos permite “resolver” nombres de dominio como meneame.net en una dirección IP. Esto posibilita que podamos crear hipervínculos que nunca caducan, entre otros usos.

Tradicionalmente, el protocolo DNS usa el puerto 53 y todas las peticiones viajan en claro. Esto presenta un problema de privacidad y seguridad: al estar sin cifrar, cualquiera en la red —incluido tu ISP — puede ver a qué páginas web accedes. Además, actores maliciosos podrían “envenenar” la petición DNS para devolverte una IP diferente a la oficial, facilitando ataques de phishing, por ejemplo.

Usando DNS over HTTPS o DNS over TLS nos aseguramos de que todas nuestras peticiones van cifradas. Por tanto, ni nuestro ISP sabrá qué web visitamos. Podrá conocer la IP, como nos recuerda Tebas todos los dias de partido, pero no la web: hacer “DNS inverso”, es decir, deducir la web a partir de la IP, no es factible ya que la mayoría de sitios están en servidores compartidos.

¿Qué características debemos buscar en un servidor de DNS?

No bigcorp: Las grandes corporaciones como Cloudflare ya tienen suficiente información sobre nosotros como para darles más metadatos.
Seguridad: Debe seguir las mejores prácticas posibles.
Fuentes disponibles: Código abierto frente a alternativas propietarias.
Documentación y transparencia: Debe estar documentado y, idealmente, auditado.
No logging: No queremos que nuestras peticiones se registren en ningún servidor.
No ECS: El EDNS Client Subnet comparte parte de tu IP para resolver DNS desde un servidor cercano; mejor evitarlo.
Latencia: El tiempo de respuesta importa, pero no a costa de la privacidad.

¿Cumple DNS4EU con estas condiciones?

Solo en parte.

Según su web oficial, el servicio está desarrollado y mantenido por un consorcio de nueve entidades europeas (CZ.NIC, Czech Technical University (ČVUT), Time.lex, deSEC, SZTAKI, Abi Lab, NASK y DNSC como socios del proyecto), incluyendo un componente de “threat intelligence” o inteligencia de amenazas. También invitan a ISPs y gobiernos a colaborar con este servicio.

Ofrecen distintos tipos de DNS: desde el clásico sin filtrado hasta opciones que bloquean contenido como anuncios o pornografía.

Sus términos de servicio pueden consultarse aquí

Leyendo los términos, se observa que:

Usan un resolver open source (Knot Resolver), disponible en GitHub (CZ-NIC/knot-resolver) aunque poco conocido.
Las consultas son anonimizadas pero almacenadas. Se guarda la petición, la respuesta, el timestamp, el tipo de amenaza (si aplica) y otros metadatos. Estos datos se usan para mejorar el servicio, se retienen durante seis meses y los agregados indefinidamente.
No se anonimizan las consultas si: usas DNS en claro, si consideran que estás atacando el servicio o si hay un fallo técnico.
El módulo de inteligencia de amenazas no es open source y su funcionamiento es opaco: no se especifica si usa listas blancas/ negras o aprendizaje automático.

En la práctica, el servicio funciona correctamente, la latencia es buena y hay resolvers en España. Sin embargo, carece de la transparencia necesaria, y la política de registros es preocupante.

Teniendo en cuenta además las recientes propuestas de regulación digital de la Unión Europea —como ChatControl—, que han despertado preocupación por su potencial impacto en la privacidad, considero que DNS4EU no ofrece las garantías de independencia suficientes. Por esa razón, no es mi opción recomendada.

Mis recomendaciones

No he hecho una búsqueda exhaustiva, pero dos resolvers que uso y recomiendo son los de Mullvad (mullvad.net/en/help/dns-over-https-and-dns-over-tls)y dns.sb (dns.sb). Ambos cumplen con las condiciones expuestas: política de no logging, usan DNSSEC, no permiten DNS en plano y no usan ECS ni servicios de terceros. Además, están auditados, son transparentes y corren totalmente en RAM, por lo que nada se almacena.

Términos de servicio:

dns.sb/privacy/

mullvad.net/en/help/privacy-policy

Auditorías de transparencia:

dns.sb Transparency Report 2024

Mullvad authoritative DNS audit

En el caso de Mullvad, que también ofrece bloqueo de hostnames, las listas son públicas:

github.com/mullvad/dns-blocklists

La latencia es aceptable, aunque no tienen servidores en España. Estos son los datos que me reporta AdGuard Home:

dns.sb:443/dns-query 54 ms

dns.mullvad.net:443/dns-query 65 ms

Conclusión

En teoría, DNS4EU pretende fortalecer la soberanía digital europea. En la práctica, centralizar una infraestructura tan sensible bajo una iniciativa supranacional solo traslada el punto de confianza. Pasamos de depender de las grandes corporaciones a depender de los burócratas.

La línea entre protección y control es cada vez más fina. Un servicio que hoy promete seguridad puede mañana imponer filtros, listas negras o bloqueos “por nuestro bien”. Y cuando el control se ejerce desde una capa tan profunda como el DNS, ya no es censura visible: es silencio técnico.

La libertad digital no se delega; se practica.

Cuida tu privacicad

9 meneos

397 clics

enviado
____

1 comentarios

#1 UnoYDos

Muy buen artículo, y creo que necesario. La gente sabe poco o nada de este tema y actualmente considero que es muy importante

0 7

menéame

condiciones legales / de uso / y de cookies
/ quiénes somos
/ licencias: código, gráficos, contenido
/ HTML5
/ codigo fuente