Qué es una fuga de DNS
Aunque uses una o , si pasas por alto cómo se maneja el DNS, las pistas sobre los nombres de dominio a los que intentaste conectarte pueden salir por otra ruta.
A esto se le llama fuga de DNS.
Una fuga de DNS es un problema un poco distinto de que se lea el contenido de la comunicación en sí. Lo problemático es la pista sobre "qué sitio se intentó visitar".
Por ejemplo, aunque creas que has cambiado la ruta de comunicación con una VPN, si solo las consultas DNS se envían al resolvedor DNS del proveedor de internet que usas normalmente, el proveedor puede llegar a ver los nombres de dominio consultados.
Este artículo ordena qué puede verse en una fuga de DNS, cómo se relaciona con VPN y Tor, y qué conviene mirar al comprobarlo.
DNS es el mecanismo para buscar el destino
DNS es el mecanismo que relaciona nombres de dominio con direcciones IP.
Cuando se abre un sitio web en un navegador, las personas usan nombres de dominio. Sin embargo, para comunicarse realmente en la red, se necesita la dirección IP del destino.
Por eso, el dispositivo o el navegador consulta a un resolvedor DNS y busca la dirección IP correspondiente al nombre de dominio.
| Etapa | Qué ocurre | Punto a mirar para el anonimato |
|---|---|---|
| 1 | El navegador usa un nombre de dominio | Se genera el nombre del sitio al que se quiere conectar |
| 2 | Consulta a un resolvedor DNS | Importa a qué resolvedor se consultó |
| 3 | Se devuelve una dirección IP | Se vuelve posible comunicarse con esa dirección IP |
| 4 | Se conecta al sitio web | Con HTTPS, el cuerpo queda protegido por cifrado |
Una consulta DNS no es el contenido de la página ni el contenido de un formulario en sí. Sin embargo, "qué nombre de dominio se buscó" se convierte en una pista fuerte para inferir el destino del acceso.
Cuál es el problema de una fuga de DNS
El problema de una fuga de DNS es que, aunque creas que cambiaste la ruta de comunicación, solo las consultas DNS salen por una ruta distinta.
Por ejemplo, supongamos que el propósito de usar una VPN es "hacer que al ISP le resulte más difícil ver directamente el destino de conexión". En ese caso, aunque la comunicación web vaya hacia el servidor VPN, si solo las consultas DNS salen hacia el lado del ISP, el ISP puede llegar a ver los nombres de dominio consultados.
Es decir, aunque el contenido del sitio web de destino sea difícil de leer por HTTPS, en la etapa de DNS puede quedar "qué dominio se intentó ver".
| Estado | Cómo se ve la comunicación web | Cómo se ve el DNS |
|---|---|---|
| Conexión normal | El ISP puede ver la IP de destino y datos similares | A menudo se usa DNS del lado del ISP |
| VPN funcionando correctamente | El ISP ve la conexión VPN | Fluye hacia DNS del lado de la VPN o hacia el DNS especificado |
| Con fuga de DNS | La comunicación web pasa por la VPN | Solo el DNS sale hacia el lado del ISP |
| Uso de Tor Browser | La resolución de nombres dentro de Tor Browser se maneja a través de Tor | Se piensa por separado de los navegadores normales y otras aplicaciones |
Una fuga de DNS se pasa por alto con facilidad si se asume que "como uso una VPN, el destino no es visible".
En anonimato, hay que comprobar por separado la ruta de la comunicación web y la ruta de las consultas DNS.
Suele requerir atención al usar una VPN
Las fugas de DNS se tienen especialmente en cuenta al usar una VPN.
Una VPN crea una vía de comunicación desde el dispositivo hasta el servidor VPN y, desde ese servidor, comunica hacia el exterior. Para el sitio web de destino, parece que el usuario viene de la dirección IP del servidor VPN, no de la IP de su casa.
Sin embargo, si la configuración de las consultas DNS no ha cambiado para ajustarse a la VPN, solo el DNS puede salir por la red habitual.
En ese estado, aunque la IP visible para el sitio web de destino sea la del servidor VPN, los nombres de dominio consultados quedan del lado del resolvedor DNS.
| Causa | Qué ocurre | Qué comprobar |
|---|---|---|
| Problema en la configuración DNS de la VPN | Solo el DNS sale por la conexión normal | Servidor DNS durante la conexión VPN |
| DNS fijado en el sistema operativo | La configuración del sistema operativo tiene prioridad sobre la VPN | Configuración de red |
| DNS propio del navegador | El navegador usa otro DNS | Configuración DNS del navegador |
| Fuga al desconectarse la VPN | Tras la desconexión, vuelve a la conexión normal | Kill switch y configuración de reconexión |
Si usas una VPN, comprueba no solo la dirección IP, sino también el DNS. Que "haya cambiado la IP visible desde el destino" no basta para decir que no hay fuga de DNS.
Relación con Tor
Cuando se usa Tor Browser, la forma de pensarlo cambia respecto de la navegación web normal.
Tor Browser está diseñado para manejar la comunicación a través de la red Tor. Por eso, la resolución de nombres de los sitios web a los que se accede dentro de Tor Browser debe pensarse por separado de un navegador normal.
Sin embargo, si aplicaciones distintas de Tor Browser o el navegador habitual se comunican por la conexión normal, esas consultas DNS siguen siendo otro problema.
Es decir, aunque uses Tor, no toda la comunicación del dispositivo pasa automáticamente por Tor. Hay que comprobar desde qué aplicación sale la comunicación que quieres anonimizar.
Qué información se ve y no se ve en una fuga de DNS
Para entender correctamente una fuga de DNS, separa lo que puede verse de lo que no.
| Información | Puede verse con una fuga de DNS | Explicación |
|---|---|---|
| Nombre de dominio | Puede verse | Se convierte en una pista sobre qué sitio se buscó |
| Hora de la consulta | Puede verse | Se convierte en un eje para cotejar con otros registros |
| Contenido de la página | No se ve solo por DNS | Es un problema distinto del contenido dentro de HTTPS |
| Ruta o consulta de la URL | Normalmente no se ve por DNS | DNS trata principalmente nombres de dominio |
| Contenido introducido en formularios | No se ve por DNS | Se maneja como contenido de la comunicación HTTP |
Una fuga de DNS no es un problema que filtre todo el contenido de la página. Sin embargo, para el anonimato, solo "a qué dominio se intentó ir" ya puede ser una pista importante.
En especial, cuando se combina con la hora, la dirección IP, registros de conexión de VPN, la hora de publicación y el comportamiento de una cuenta, se convierte en material para correlación.
Qué comprobar
Al comprobar una fuga de DNS, compara la información visible antes y después de conectarte a la VPN.
Si usas un sitio externo de comprobación de fugas de DNS, mira si los servidores DNS que aparecen pertenecen al ISP habitual, al lado de la VPN o al DNS propio del navegador.
No obstante, no juzgues que estás completamente a salvo solo por el resultado de un sitio de prueba. El resultado cambia según el alcance de la prueba, el navegador, la configuración del sistema operativo, la aplicación VPN y el momento de conexión.
| Elemento de comprobación | Razón para mirarlo |
|---|---|
| Servidor DNS durante la conexión VPN | Comprobar que no se vea DNS del lado del ISP |
| Configuración DNS del navegador | Comprobar que el DNS propio del navegador sea el previsto |
| Comportamiento al desconectarse la VPN | Ver si al desconectarse vuelve a la conexión normal |
| Manejo de IPv6 | Comprobar que solo IPv6 no esté usando otra ruta |
| Varios navegadores | Ver que no se mezclen resultados entre el navegador anónimo y el habitual |
DNSLeakTest es un sitio de verificación que permite comprobar información sobre el resolvedor DNS visto desde el exterior. Comparar los resultados antes y después de conectarte a una VPN facilita verificar si las consultas DNS salen por la ruta prevista.
URL : https://www.dnsleaktest.com/
En actividades anónimas de alto riesgo, no te quedes tranquilo solo por comprobar fugas de DNS. Revisa por separado , estado de sesión iniciada, huella del navegador, contenido de la publicación y metadatos de archivos.
Resumen
Una fuga de DNS ocurre cuando, aunque creas que cambiaste la ruta de comunicación, las consultas DNS salen por una ruta no prevista.
DNS no es un mecanismo que maneje el contenido de la página. Sin embargo, los nombres de dominio consultados se convierten en pistas sobre a qué sitio se intentó conectar.
Aunque uses una VPN, si solo el DNS sale hacia el lado del ISP, quedan indicios que permiten inferir el destino de conexión. Cuando uses Tor Browser, también debes pensar por separado en la comunicación de aplicaciones fuera de Tor Browser y del navegador normal.
En anonimato, comprueba en conjunto no solo la dirección IP, sino también DNS, Cookie, estado de sesión iniciada, navegador y contenido de la publicación. Las medidas contra fugas de DNS son importantes, pero por sí solas no completan el anonimato.
Herramientas relacionadas
WhatIsMyIP
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
DNSLeakTest
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
BrowserLeaks WebRTC
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
Proton VPN
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://protonvpn.com/
Mullvad VPN
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://mullvad.net/