La privacidad sobre los protocolos DNS, analizada por la AEPD

La AEPD informa en una nueva nota técnica a desarrolladores de software, administradores de red, prestadores de servicios DNS y proveedores de acceso a Internet sobre las implicaciones para la privacidad de las personas que se derivan del uso de Sistemas de Nombres de Dominio, comúnmente conocido como DNS.

Este sistema se creó hace más de 35 años para facilitar la navegación y el acceso a sitios web para que los usuarios pudieran introducir el nombre de la página a la que deseaban acceder en vez de tener que recordar el código numérico de hasta 12 dígitos que constituye la dirección IP.

Cuando los usuarios navegan por Internet, sus equipos realizan consultas de forma constante a través del protocolo DNS a otros servidores para determinar la dirección IP a la que se pretende acceder. Estas consultas contienen no sólo una dirección IP, que identifica al usuario y puede geolocalizarle, sino también el nombre de la página a la que se desea acceder, lo que haría posible conocer los hábitos de navegación del dueño de un dispositivo y hacer un perfilado a partir de sus opiniones, o de los blogs, foros o webs a las que accede.

Como la mayoría de los protocolos de Internet, el DNS se definió originariamente sin tener en cuenta la privacidad, por lo que gran parte de las consultas que se hacen a través de la red no se encuentran protegidas mediante, por ejemplo, cifrado. Por otra parte, como explica la autoridad de protección de datos, puede ocurrir que algunos servidores DNS lleven un registro de las consultas que se efectúan y se utilice para finalidades distintas a la prestación del servicio, además de ser una información sensible que podría filtrarse a terceros. Un problema añadido es que la falta de medidas de seguridad del protocolo DNS podría derivar en un caso de suplantación del nombre de dominio, por el cual un usuario podría estar navegando por webs que no son las que realmente quería visitar, con los consiguientes riesgos para su privacidad, como robo de información o ransomware.

Aunque se han ido incorporando extensiones de seguridad, conocidas como DNSSEC, éstas no poseen mecanismos de cifrado que permitan la confidencialidad de las comunicaciones DNS. Junto a esta medida de seguridad, se están desarrollando nuevas medidas como DNS over TLS (DoT) o DNS over HTTPS (DoH) para que estas consultas puedan ser interceptadas y que, en caso de que lo sean, la información resulte ilegible y mejorar así la confidencialidad.

La agencia considera que la incorporación de estas soluciones puede suponer un avance para la privacidad de las comunicaciones, sobre todo en redes no confiables, pero sigue habiendo limitaciones que deberán superarse cuando la tecnología madure y su puesta en funcionamiento sea más amplia.

Además, ofrece algunas recomendaciones a la industria y al resto de agentes implicados, como impulsar una mayor implantación de las extensiones de seguridad DNSSEC; el uso generalizado de consultas DNS cifradas; que los proveedores de estos servicios informen de las condiciones de uso del servicio, o que las compañías de internet que utilicen servidores DNS de terceros se aseguren de escoger proveedores que se ajusten a las exigencias de la normativa europea de protección de datos europea (GDPR).

Por último, la nota técnica recuerda que los datos tratados por el servidor DNS son recogidos para un tratamiento específico, por lo que cualquier otro tratamiento adicional (en particular comunicar dichos datos para otras finalidades como el perfilado de usuarios) podría tener implicaciones para la privacidad. En tal caso, se estaría produciendo un tratamiento de datos personales del que habría que identificar su base jurídica, informar al usuario y garantizar el ejercicio de los derechos del usuario, así como el cumplimiento de GDPR.