DNS sobre HTTPS o DNS cifrado en Android

A partir de Android 9 puedes usar un DNS que cifre los datos entre tus peticiones y el servidor DNS, por lo que podrías aumentar tu privacidad y evitar muchos problemas, aparte de ganar en rapidez.

Si no sabes que es un servidor DNS, aquí lo puse con palabras sencillas:

https://write.privacytools.io/jal/explicaciones-sencillas-dns

En el ejemplo de Quad9, te puede proteger de dominios maliciosos bloqueando su acceso. Y al usar cifrado en las comunicaciones evitarás que ciberdelincuentes puedan interceptar tus peticiones DNS.

Pero lo realmente importante al añadir un servidor DNS que cifre tus comunicaciones es confiar en este servidor DNS. ¿Qué hará con tus datos?, ¿guarda registros de tus peticiones?, y otras preguntas importantes para tu privacidad. Porque si cifras tus comunicaciones y resulta que el servidor DNS puede conocer TODO sobre adonde intentas conectarte, entonces es muy negativo. Ten en cuenta que las comunicaciones van cifradas únicamente hasta llegar a ese servidor. El mismo servidor conoce dichas comunicaciones.

Quad9 pertenece a la compañía CleanerDNS, Inc., que está en California, supuestamente una organización sin ánimo de lucro. Pero esto ya de por sí da una alarma importante, ya que las compañías de EEUU están normalmente obligadas a dar o recolectar información y es el principal país que se debe evitar si buscas cierta privacidad. En su política de privacidad dejan claro que guardan registros como lo siguiente:

Mantenemos cierta información de localización generalizada (a nivel de ciudad/área metropolitana) para poder llevar a cabo la depuración y el análisis de los fenómenos de abuso. También utilizamos la información recopilada para la creación y el intercambio de telemetría (fecha y hora, geolocalización, número de visitas, primera y última visita) para los colaboradores, publicación pública de estadísticas generales de uso del sistema (protecciones, tipos de amenazas, conteos, etc.). No correlacionamos o combinamos la información de nuestros registros con ninguna información personal que usted haya proporcionado a Quad9 para otros servicios, o con su dirección IP específica. Cuando usted utiliza Quad9 DNS Services, aquí está la lista completa de los elementos que se incluyen en nuestros registros:

– Solicitar nombre de dominio, p.ej. example.net – Tipo de registro del dominio solicitado, por ejemplo, A, AAAA, NS, MX, TXT, etc. – Protocolo de transporte en el que llegó la solicitud, es decir, TCP, UDP y estado de cifrado del protocolo. – Información general de geolocalización de IP de origen: es decir, geocódigo, ID de región, ID de ciudad y código de metro. – Versión del protocolo Dirección IP – IPv4, o IPv6 – Código de respuesta enviado, p.ej. ÉXITO, SERVFAIL, NXDOMAIN, etc. – Hora de llegada absoluta – Nombre de la máquina operada por Quad9 que procesó esta solicitud – IP objetivo de Quad9 a la que se ha dirigido esta petición (sin relación con la dirección IP del usuario)

Podemos mantener los siguientes datos como información resumida, incluyendo todo lo anterior EXCEPTO para los datos sobre el registro DNS solicitado:

– Prefijo/máscara de red IP resumido BGP actualmente anunciado de origen aparente del cliente – Número de sistema autónomo (ASN BGP) de origen aparente del cliente

Todos los datos anteriores pueden conservarse en forma total o parcial en archivos permanentes.

Asimismo, hablan de forma algo confusa de lo que comparten o no, y advierten de terceras partes y lo que puedan hacer y que no son responsables, aparte de lo que ellos mismos hacen con tus datos. Te recomiendo leer y traducir la política de privacidad completita, que te puede resultar interesante:

https://quad9.net/policy/

En otra parte de su web menos extensa, donde dicen ser una compañía que no busca beneficiarse con los datos de nadie, ponen algo como lo siguiente:

https://quad9.net/privacy/

Compartimos datos anónimos sobre dominios específicos (como el dominio, la marca de tiempo, la geolocalización, el número de visitas, la primera vez que se ven, la última vez que se ven) con nuestros socios de inteligencia de amenazas. Tenga en cuenta que esta información no contiene información IP de origen ni ningún otro identificador que pueda identificar directamente al usuario final o a su organización.

No me parece muy fiable, ni hay garantías de que realmente hagan lo que dicen, pero quizás solo sea mi intuición y que sean un servicio de EEUU.

De todas formas, si usas un cortafuegos o firewall en tu Android (ya sea que lo tengas rooteado y uses por ejemplo AFwall+ o sin rootear Netguard) no podrías usar un DNS cifrado, ya que en este caso el cortafuegos no podría conocer los dominios que debe ofrecerte a bloquear, al ir todo cifrado.

En mi opinión, prefiero un servidor DNS normalito que no guarde registros (por ejemplo el DNS público de la VPN Mullvad -que considero muy fiable- o cualquier otro sin registros del proyecto OpenNIC https://www.opennic.org/) y si busco privacidad suelo conectarme directamente a través de Tor y siempre con el cortafuegos Netguard, tal como comentaba en mi artículo anterior:

https://write.privacytools.io/jal/todo-tu-smartphone-a-traves-de-tor

Si uso algún navegador que no es Tor Browser for Android, evito el rastreo conectándome también a través de Tor como comentaba antes, y cambiando algunas opciones negativas que suele traer el navegador (por ejemplo Firefox), y añadiendo algunas extensiones. Por ejemplo evito WebRTC, Canvas, Webgl, publicidad, que sepa una web lo que copio o pego y el estado de la batería, etc. O uso el Navegador Privado de Stoutner sin javascript, que considero muy fiable.

No puedo permitirme usar un smartphone con Android sin Netguard. Si pudiera rootearlo (que también trae sus riesgos y peligros hacerlo) quizás instalaría otra ROM diferente y el mismo o quizás otro cortafuegos. Pero por ahora la protección y privacidad que tengo es para mi más que suficiente.

Como siempre digo, todo depende de cada uno y de su nivel de privacidad. En mi caso no voy a usar un servidor DNS que guarda registros y que está en EEUU, por muy cifradas que me prometan que van a ir las peticiones DNS.

Si hay algún otro servidor DNS cifrado que puede resultar fiable (ni me hableis de Cloudfare por favor) sería interesante para aquellos que únicamente busquen un servidor de este tipo por cierta seguridad y nada más, aunque si buscas una buena privacidad en tu smartphone android, este sería el menor de tus problemas.

¿Y en un PC?: nada mejor que una VPN fiable que no guarde registros y que use un servidor DNS dentro del túnel cifrado. Por lo que ya de por sí las peticiones DNS van cifradas. Esto para comunicaciones que no sean muy privadas, en caso contrario mejor directamente Tor Browser.