@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

puedes-ocultar-a-tu-isp-donde-entras-1

¿Puedes ocultar a tu ISP donde entras?

Raul Unzue Pulido 5 febrero, 2025 Ciberseguridad Deja un comentario 491 Vistas

¿Puedes ocultar a tu ISP donde entras?

El otro día estaba navegando por la red X y vi una de esas preguntas al vuelo que suelo ver en mi red del amigo @wisepds, que siempre intenta ponernos a prueba.

La pregunta era un “test para frikis”, y la duda, si usando configuraciones con DNS privados con Cifrado TLS (DNS over TLS o DoT), esto puede hacer que tu ISP no sepa en qué webs estás navegando.

Así que dije, gran pregunta, para una pequeña entrada ilustrativa…

puedes-ocultar-a-tu-isp-donde-entras-1

La respuesta corta es que, configurando DNS over TLS (DoT) con un proveedor de DNS privado como NextDNS, reduces significativamente la capacidad de tu ISP (Proveedor de Servicios de Internet) para saber a qué sitios web accedes. Sin embargo, hay algunos matices que considerar para entender completamente la situación. Pero antes de nada, vamos a hablar de DoT y lo vamos a comparar con DoH, del que ya hablamos en la siguiente entrada para su configuración en Synology.

DNS over TLS (DoT) vs DNS over HTTPS (DoH)

Cuando se trata de mejorar la privacidad y seguridad de las consultas DNS, DNS over TLS (DoT) y DNS over HTTPS (DoH) son dos tecnologías clave que cifran las comunicaciones DNS para prevenir el espionaje y la manipulación de estos datos. Ambas tecnologías tienen sus propios puntos fuertes y limitaciones, y la elección entre DoT y DoH puede depender de factores específicos del entorno de red, los requisitos de privacidad y las preferencias técnicas.

DNS over TLS (DoT)

Características principales:

  • Puerto Estándar: DoT utiliza el puerto 853, dedicado exclusivamente para DNS cifrado. Esto facilita la identificación del tráfico DNS pero también permite a los ISP y firewalls bloquear o filtrar fácilmente el tráfico DoT si así lo desean.
  • Cifrado de Transporte: DoT cifra solamente la capa de transporte, asegurando que las consultas DNS entre el cliente y el servidor DNS sean ininteligibles para los observadores externos.
  • Autenticación del Servidor: Permite la validación de certificados TLS, garantizando que las consultas DNS se envíen al servidor correcto y protegiendo contra ataques de hombre en el medio.

Ventajas:

  • DoT es explícito en su propósito (DNS cifrado), lo que facilita su configuración y monitoreo en redes empresariales.
  • Al ser un protocolo estandarizado por el IETF, ofrece garantías de compatibilidad y seguridad.

Desventajas:

  • Al usar un puerto específico, DoT puede ser fácilmente bloqueado o regulado por proveedores de servicios de Internet o redes corporativas.
  • La negociación de TLS puede incrementar ligeramente el tiempo de las consultas DNS en comparación con DoH.

DNS over HTTPS (DoH)

Características principales:

  • Integración con HTTPS: DoH utiliza el puerto 443, el mismo que el tráfico web HTTPS regular, lo que hace que las consultas DNS se mezclen con el resto del tráfico web, dificultando su bloqueo o filtrado específico.
  • Cifrado Completo: Además de cifrar la capa de transporte, DoH también encripta los datos dentro de un entorno HTTPS, ofreciendo protección adicional contra ciertos tipos de ataques.
  • Privacidad Mejorada: DoH puede ser implementado dentro de aplicaciones (como navegadores), lo que permite configuraciones de privacidad específicas del usuario y del contexto.

Ventajas:

  • Al utilizar el puerto 443, DoH es más difícil de filtrar o bloquear sin afectar otro tráfico HTTPS legítimo.
  • Mejor integración con aplicaciones modernas y navegadores, que pueden directamente resolver DNS sin configuraciones adicionales a nivel de sistema.

Desventajas:

  • La mezcla de tráfico DNS con HTTPS puede complicar el monitoreo y control de la red en entornos corporativos o educativos.
  • Puede haber preocupaciones sobre la concentración de datos en proveedores de DoH, como grandes compañías de tecnología que también ofrecen navegadores y otros servicios en línea.

La elección entre DoT y DoH dependerá de tus necesidades específicas de privacidad, la configuración de la red y las preferencias de gestión.

  • DoT es ideal para entornos que requieren un alto grado de control y visibilidad del tráfico DNS.
  • Por otro lado, DoH es preferible en escenarios donde la privacidad del usuario es primordial y donde el bloqueo de DNS cifrado es una preocupación significativa.

Ambos proporcionan mejoras significativas sobre el DNS tradicional sin cifrar y representan un paso importante hacia una internet más segura y privada.

Configuración de MikroTik para DNS over TLS (DoT)

Configurar DNS over TLS (DoT) en un router Mikrotik asegura que tus consultas DNS sean cifradas, protegiendo así tu actividad en línea de miradas indiscretas. Aquí te explico cómo configurar DoT en tu Mikrotik, basado en la documentación oficial y las mejores prácticas.

Pasos para Configurar DNS over TLS en Mikrotik

Paso 1: Actualizar RouterOS

Primero, asegúrate de que tu Mikrotik está actualizado a la última versión de RouterOS que soporte DNS over TLS. Esto es crucial para evitar problemas de compatibilidad y de seguridad.

1. Accede a tu router Mikrotik a través de WinBox o WebFig.

2. Ve a System > Packages y verifica si hay actualizaciones disponibles.

3. Instala cualquier actualización necesaria para asegurarte de que el soporte para DoT esté disponible.

Paso 2: Configurar el Servidor DNS con Soporte DoT

Mikrotik permite configurar DNS over TLS directamente desde el menú de configuración de DNS, utilizando servidores que soportan TLS.

1. Accede a la configuración de DNS:

• En WinBox o WebFig, navega a IP > DNS.

2. Habilita DoT:

• En la versión 6.47 y posteriores de RouterOS, Mikrotik introduce la capacidad para especificar un servidor DNS sobre TLS. En la configuración DNS, encontrarás un campo para “DoT Servers”. Aquí puedes ingresar los servidores DNS que deseas que manejen tus consultas sobre TLS.

Ejemplo con Cloudflare y Google:

DoT Servers: tls://1.1.1.1, tls://8.8.8.8

• Asegúrate de usar tls:// antes de la dirección del servidor para indicar que quieres usar TLS.

3. Configura los servidores DNS regulares (opcional):

• También puedes configurar servidores DNS regulares como respaldo en el campo “Servers”. Esto es útil si hay problemas con la conexión TLS.

Servers: 1.0.0.1, 8.8.4.4

4. Guarda la configuración:

• Haz clic en “Apply” y “OK” para guardar los ajustes.

Paso 3: Verificar la Configuración

Después de configurar DNS over TLS, es importante verificar que las consultas DNS están siendo cifradas.

1. Monitorea las consultas DNS:

• Puedes usar herramientas como Wireshark para capturar el tráfico de red y asegurarte de que las consultas DNS están siendo enviadas a través del puerto 853, que es el puerto estándar para TLS.

2. Test de funcionamiento:

• Intenta navegar por la web y acceder a diferentes sitios para asegurarte de que las resoluciones DNS funcionan correctamente con TLS habilitado.

Consideraciones Adicionales

• Compatibilidad de los servidores DNS: No todos los servidores DNS soportan DNS over TLS. Asegúrate de utilizar servidores que proporcionen explícitamente este servicio.

• Rendimiento: La implementación de DNS over TLS puede influir ligeramente en el tiempo de resolución DNS debido al proceso de establecimiento de TLS. Monitorea el rendimiento de la red después de la configuración.

La configuración de DoT en Mikrotik es relativamente sencilla y puede aumentar significativamente la seguridad de tu red al cifrar tus consultas DNS. Este enfoque es parte de una estrategia de seguridad en capas que puede proteger tus datos sensibles de ataques y espionaje

puedes-ocultar-a-tu-isp-donde-entras-2

Validación navegación

Podéis validar en la siguiente URL si vuestra navegación es segura:

https://www.cloudflare.com/es-es/ssl/encrypted-sni/#dns

¿El ISP sigue sabiendo a dónde entras?

Volvemos a la cuestión inicial…

Aunque DoT cifra tus consultas DNS, hay otras formas mediante las cuales un ISP podría inferir a qué sitios accedes:

  1. Direcciones IP: Aunque las consultas DNS están cifradas, la conexión final a un sitio web todavía revela la dirección IP del servidor al cual te estás conectando. El ISP puede ver estas direcciones IP y, dependiendo de cuánto sepan sobre a qué pertenecen estas direcciones, podrían determinar a qué sitio estás accediendo.
  2. Patrones de Tráfico: Los ISPs pueden analizar patrones de tráfico, como el tamaño y la frecuencia de los paquetes de datos, para hacer inferencias sobre el tipo de actividad en línea que estás realizando.
  3. Tecnologías de seguimiento adicionales: Algunos ISPs podrían implementar tecnologías de seguimiento más sofisticadas, aunque esto es menos común y depende de las regulaciones locales sobre privacidad. Os dejo unos ejemplos:

Deep Packet Inspection (DPI)

Una de las tecnologías más poderosas en el arsenal de un ISP es el Deep Packet Inspection. DPI no solo permite al ISP ver el tipo de tráfico que pasa a través de su red (como HTTP, HTTPS, P2P, etc.), sino que también puede examinar el contenido del paquete de datos, siempre que estos no estén cifrados. Esto puede incluir todo, desde el destino y el tipo de datos hasta información más detallada como las palabras clave buscadas. DPI se puede utilizar para varios fines, desde la gestión de la red y el bloqueo de contenido hasta la publicidad dirigida y la vigilancia.

Fingerprinting de Dispositivos

Los ISPs pueden implementar técnicas de fingerprinting para identificar dispositivos específicos en su red. El fingerprinting de dispositivos puede recoger detalles como la dirección IP, el sistema operativo, la configuración del navegador y incluso las fuentes instaladas, para crear un perfil único de un dispositivo. Esto puede usarse para rastrear actividades en línea incluso si el usuario intenta ocultar su identidad mediante VPNs o cambiando de IP.

Supercookies

Algunos ISPs han utilizado supercookies o UIDH (Unique Identifier Header), que son identificadores inborrables que el ISP inserta en los encabezados HTTP de las solicitudes web que pasan a través de su red. Estos identificadores pueden ser utilizados para rastrear y recolectar datos de navegación de los usuarios de manera persistente, a pesar de los esfuerzos por eliminar cookies o usar el modo incógnito.

Análisis de Metadatos

Aunque el contenido de las comunicaciones puede estar cifrado, los metadatos (como las direcciones IP de destino, los tiempos de las conexiones y los volúmenes de datos transferidos) no lo están. Los ISPs pueden analizar estos metadatos para deducir patrones de comportamiento, hábitos de navegación, y posiblemente, los servicios en línea utilizados por los suscriptores

Medidas Adicionales para Mejorar la Privacidad

Para maximizar tu privacidad frente a tu ISP, considera utilizar además de DoT:

  • VPN (Red Privada Virtual): Una VPN cifra todo el tráfico de red desde tu dispositivo hasta el servidor VPN, ocultando tanto tus consultas DNS como tus direcciones IP de destino del ISP.
  • HTTPS: Asegúrate de que los sitios web que visitas usan HTTPS, lo que cifra los datos enviados entre tu navegador y el sitio web, impidiendo que el ISP vea el contenido específico de tu actividad en esos sitios.

En conclusión, configurar DNS over TLS en tu router mejora significativamente la privacidad de tus actividades en línea al cifrar tus consultas DNS y evitar que sean vistas por tu ISP. Sin embargo, para una privacidad completa, es aconsejable utilizar otras herramientas como VPNs para asegurar que toda tu actividad en línea esté protegida de miradas indiscretas. Ten en cuenta que ninguna tecnología ofrece un 100% de anonimato o privacidad, pero combinando varias puedes acercarte bastante a este ideal.

Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Etiquetas

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

primeros-pasos-flipper-zero-0

Primeros pasos con Flipper Zero en Español

Primeros pasos con Flipper Zero en Español Hacía tiempo que estaba buscando una forma de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

16 + 4 =

Blog de virtualización en Español

Creado y posicionado por Agencia de Posicionamiento Web

© 2025 Copyright - El Blog de Negu

Máquinas Virtuales, Smartphones y tecnología general

Blog VMware en Español

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu