Entradas

La AEPD publica recomendaciones de privacidad sobre los protocolos DNS

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica que analiza las posibles implicaciones para la privacidad de las personas derivadas del uso del Sistema de Resolución de Nombres (DNS, por sus siglas en inglés). El documento va dirigido fundamentalmente a desarrolladores de software, administradores de red, prestadores de servicios DNS y proveedores de acceso a internet.

Cuando los usuarios navegan por internet, sus equipos realizan consultas de forma constante a través del protocolo DNS a otros servidores para determinar la dirección IP a la que se pretende acceder. Estas consultas contienen no sólo una dirección IP, que identifica al usuario y puede geolocalizarle, sino también el nombre de la página a la que se desea acceder, lo que haría posible conocer los hábitos de navegación del dueño de un dispositivo y hacer un perfilado a partir de sus opiniones, o de los blogs, foros o webs a las que accede.

Pese a que se han ido incorporando extensiones de seguridad en el protocolo DNS, conocidas como DNSSEC, estas no poseen mecanismos de cifrado que permitan la confidencialidad de las comunicaciones DNS. Junto a esta medida de seguridad, se están desarrollando nuevas medidas como DNS over TLS (DoT) o DNS over HTTPS (DoH) para mitigar que estas consultas puedan ser interceptadas y que, en caso de que lo sean, la información resulte ilegible, contribuyendo así a mejorar la confidencialidad. Algunos navegadores como Firefox han apostado por el uso de la segunda opción, permitiendo habilitarlo en las opciones del navegador, y Chrome tiene previsto incorporarla en una próxima versión.

La Agencia considera que la incorporación de estas soluciones puede suponer un avance para la privacidad de las comunicaciones, sobre todo en redes no confiables, pero subsisten limitaciones que deberán superarse cuando la tecnología madure y su puesta en funcionamiento sea más amplia. Además, la AEPD ofrece algunas recomendaciones a la industria y al resto de agentes implicados, como impulsar una mayor implantación de las extensiones de seguridad DNSSEC; el uso generalizado de consultas DNS cifradas; que los proveedores de estos servicios informen de las condiciones de uso del servicio, o que las compañías de internet que utilicen servidores DNS de terceros se aseguren de escoger proveedores que se ajusten a las exigencias del RGPD.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AEPD.