La AEPD publica recomendaciones de privacidad sobre los protocolos DNS

Recomendaciones de privacidad sobre los protocolos DNS
  • La Agencia elabora una nota técnica para analizar las implicaciones que el uso de estos protocolos puede tener en la privacidad de las personas y ofrece recomendaciones a la industria y otros agentes implicados

(Madrid, 29 de noviembre de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica que analiza las posibles implicaciones para la privacidad de las personas derivadas del uso del Sistema de Resolución de Nombres (DNS, por sus siglas en inglés). El documento va dirigido fundamentalmente a desarrolladores de software, administradores de red, prestadores de servicios DNS y proveedores de acceso a internet.

El Sistema de Resolución de Nombres fue creado hace más de 35 años para facilitar la navegación y el acceso a sitios web, de forma que los usuarios pudieran introducir el nombre de la página a la que deseaban acceder en vez de tener que recordar el código numérico de hasta 12 dígitos que constituye la dirección IP.

Cuando los usuarios navegan por internet, sus equipos realizan consultas de forma constante a través del protocolo DNS a otros servidores para determinar la dirección IP a la que se pretende acceder. Estas consultas contienen no sólo una dirección IP, que identifica al usuario y puede geolocalizarle, sino también el nombre de la página a la que se desea acceder, lo que haría posible conocer los hábitos de navegación del dueño de un dispositivo y hacer un perfilado a partir de sus opiniones, o de los blogs, foros o webs a las que accede.

Como la mayoría de los protocolos de internet, el DNS se definió originariamente sin tener en cuenta la privacidad, por lo que gran parte de las consultas que se hacen a través de la red no se encuentran protegidas mediante, por ejemplo, cifrado. Por otra parte, puede ocurrir que algunos servidores DNS lleven un registro de las consultas que se efectúan y se utilice para finalidades distintas a la prestación del servicio DNS, además de ser una información sensible que podría filtrarse a terceros. Un problema añadido es que la falta de medidas de seguridad del protocolo DNS podría derivar en un caso de suplantación de DNS, por el cual un usuario podría estar navegando por webs que no son las que realmente quería visitar, con los consiguientes riesgos para su privacidad, como robo de información o ransomware.

Pese a que se han ido incorporando extensiones de seguridad en el protocolo DNS, conocidas como DNSSEC, estas no poseen mecanismos de cifrado que permitan la confidencialidad de las comunicaciones DNS. Junto a esta medida de seguridad, se están desarrollando nuevas medidas como DNS over TLS (DoT) o DNS over HTTPS (DoH) para mitigar que estas consultas puedan ser interceptadas y que, en caso de que lo sean, la información resulte ilegible, contribuyendo así a mejorar la confidencialidad. Algunos navegadores como Firefox han apostado por el uso de la segunda opción, permitiendo habilitarlo en las opciones del navegador, y Chrome tiene previsto incorporarla en una próxima versión.

La Agencia considera que la incorporación de estas soluciones puede suponer un avance para la privacidad de las comunicaciones, sobre todo en redes no confiables, pero subsisten limitaciones que deberán superarse cuando la tecnología madure y su puesta en funcionamiento sea más amplia. Además, la AEPD ofrece algunas recomendaciones a la industria y al resto de agentes implicados, como impulsar una mayor implantación de las extensiones de seguridad DNSSEC; el uso generalizado de consultas DNS cifradas; que los proveedores de estos servicios informen de las condiciones de uso del servicio, o que las compañías de internet que utilicen servidores DNS de terceros se aseguren de escoger proveedores que se ajusten a las exigencias del RGPD.

Por último, la Agencia recuerda que los datos tratados por el servidor DNS son recogidos para un tratamiento específico, por lo que cualquier otro tratamiento adicional –en particular comunicar dichos datos para otras finalidades como el perfilado de usuarios- podría tener implicaciones para la privacidad. En tal caso, se estaría produciendo un tratamiento de datos personales del que habría que identificar su base jurídica, informar al usuario y garantizar el ejercicio de los derechos del usuario, así como el cumplimiento del RGPD.

Este documento se incorpora a la sección Innovación y Tecnología de la web de la Agencia, que recoge guías, notas técnicas, herramientas y otro material para facilitar la adecuación a la normativa de protección de datos.