La AEPD ha publicado recientemente una nota técnica relativa a las implicaciones en la privacidad del uso del Sistema de Resolución de Nombres (Domain Name System o DNS) para concienciar a la ciudadanía respecto a las actividades que desarrollan en internet. A continuación, analizaremos los aspectos fundamentales de la misma:

¿Qué es el DNS?

El DNS es un protocolo que traduce el nombre de un sitio web (por ejemplo “www.aec.es”) por su dirección IP asignada (un código numérico). Permite localizar un sitio en Internet por el nombre sin que los usuarios tengamos que saber en cada momento que IP le corresponde.

¿Cómo funciona?

Cada vez que realizamos una búsqueda en Internet, los equipos realizan consultas a distintos servidores DNS para saber la dirección IP que corresponde al nombre que hemos escrito en el navegador. Para ello utilizan bases de datos que almacenan los nombres de dominios y sus IP.

¿Cómo impacta en la privacidad?

Cuando un ordenador está conectado a una red tiene asignada una dirección IP que identifica al usuario. De esta forma, al navegar por Internet podemos ser fácilmente geolocalizados y revelar qué páginas visitamos. Esto podría dar a conocer hábitos, intereses u opiniones que permiten generar perfiles de los usuarios (como deducir problemas de salud por los tipos de foros, blog o webs en los que participamos).

¿Cuáles son los riesgos?

• Supone el tratamiento de datos por terceros distintos de aquellos que prestan los servicios a los que queremos acceder.
• Los servidores DNS que procesan las búsquedas registran toda la información de las consultas. Podrían estar configurados para guardar dichos registros y utilizar esos datos para infinitas finalidades.
• Las consultas que realiza el dispositivo para averiguar la dirección IP se envían sin cifrar a través de la red, supone un impacto en la confidencialidad.
• La falta de medidas de seguridad podría implicar técnicas de suplantación de DNS, (robo de información, ransomware), ataques al DNS (redirigir a sitios maliciosos, a webs fraudulentas, a servidores controlados por delincuentes)

¿Y las soluciones?

La AEPD propone como solución:

• Los proveedores de DNS deben informar de las condiciones de uso. Se deben seleccionar terceros que ofrezcan garantías suficientes para cumplir con el RGPD.
• Incorporar soluciones de seguridad:

• Utilizar el DNSSEC para aportar integridad y autenticidad en las comunicaciones.
• Cifrar las consultas mediante DNS Over TLS (capacidad de cifrado) y DNS Over HTTPS (enmascara las comunicaciones).

El Equipo Govertis