Cada vez que haces algo en Internet (tú o cualquiera de tus dispositivos), hay alguien que lo sabe todo, un actor que saca tajada de todo tu tráfico, tu ISP (Proveedor de Servicios de Internet), así que, ¿podemos ocultar nuestro tráfico al ISP? ¿podemos ponerle las cosas chungas a nuestra operadora? ¡Vamos a verlo!.
Proceso de solicitud y respuesta de una URL
Déjame que, antes de empezar, explique por encima qué ocurre desde que escribes una URL en tu navegador y presionas «Enter», hasta que ves la página:
- Escribes
www.binariuscogitans.com
y presionas «Enter». El navegador no sabe dónde estáwww.binariuscogitans.com
(nombre de dominio); sólo sabe de direcciones IP. Necesita traducir el nombre de dominio a una IP. Para esto, el navegador envía una solicitud a un servidor DNS (Domain Name System) para que haga la traducción. - La solicitud de DNS (¿cuál es la IP de
binariuscogitans.com
?) se envía a tu router y, de ahí, a tu ISP (Movistar, Vodafone, Orange, etc.), que la analiza, la resuelve y te la devuelve. - Cuando tu navegador obtiene la dirección IP del servidor (
151.80.66.193
), le dice al ISP «necesito enviar un paquete de datos a151.80.66.193
«. El ISP utiliza sus trastos electrónicos y cables para encaminar tu paquete a través de Internet hasta que llega al servidor de destino (este blog). - El paquete que llega al servidor web que aloja
www.binariuscogitans.com
contiene la solicitud formal de tu navegador que dice: «Por favor, envíame la página principal de este sitio.» - El servidor web procesa esa solicitud y te envía un paquete de respuesta, siguiendo una ruta similar (a menudo no la misma) hasta que llega de nuevo a tu ISP.
- Tu ISP reconoce tu dirección IP y entrega ese paquete a tu router, y de ahí, a tu navegador.
¿Qué es un DNS?
Te lo expliqué en Creando tu propio servicio DNS y, resumiendo, un DNS convierte los nombres de dominio fácilmente legibles y entendibles, como www.binariuscogitans.com
en un churro de números (IP) legible por un ordenador, pero no por un humano, como 151.80.66.193
.
Como que cada ordenador o dispositivo que se conecta a Internet tiene, simplificando, una dirección IP única, sin el sistema DNS tendríamos que recordar una complicada cadena de números de todos los sitios web que quisiéramos visitar. ¡Qué suerte la de contar con nuestro buen amigo el DNS!
Sin entrar en muchos más detalles, comentar que existen 2 tipos de DNS:
- Recursivo: cualquier dispositivo de tu casa, para acceder a Internet, utiliza un DNS recursivo. Tu ISP te proporciona este tipo de DNS. Este DNS no dispone de unas «páginas amarillas» para resolver, sino que acaba preguntando a otros DNS.
- Autoritativo: «Autoritativo» significa que posee la autoridad, y estos DNS son las verdaderas «páginas amarillas» de Internet; proporcionan a los recursivos la respuesta final a las consultas de los usuarios.
¿Qué pinta tu ISP en todo ésto?
¿Recuerdas el proceso de solicitud y respuesta de una URL? El ISP es esencialmente tu puerta de entrada a Internet y el cartero que te trae los paquetes a casa; es el intermediario entre tu petición y la respuesta de un servidor en Internet; analiza y resuelve tus peticiones.
¿Recuerdas al DNS recursivo? El ‘router’ de tu operadora necesita saber quién es ese DNS recursivo, DNS que es el que haya establecido tu operadora en tu (su) ‘router’.
Te preguntarás que qué problema hay en ello… pues que tu operadora sabe que te estás conectando a ese periódico, a ese comercio, a esa web de adultos, … lo sabe todo sobre tu tráfico en Internet, y esa información es muy jugosa y sí, se utiliza y se comercializa. Entonces, ¿por qué no hacer que esa información no pueda explotarla tu operadora?
Sé lo que estás pensando «yo me conecto a Internet de forma cifrada, con HTTPS, así que el ISP no puede ver nada». Siento decirte que estás equivocado. Si un sitio usa cifrado (HTTPS), el ISP no puede ver el contenido de tu comunicación (lo que envías o recibes), pero sí sabe dónde te conectas; recuerda que antes le has pedido que resuelva un dominio así que, ¡te tiene fichado!
¿Puedo mantener todo mi tráfico privado?
No, pero con matices.
Todo dispositivo necesita saber a quién dirigir sus peticiones de acceso a Intenet. Ese alguien es tu ‘router’, ergo una de las cosas que necesita saber tu dispositivo es la IP (local) de tu router (el gateway o puerta de enlace). Esa información la proporciona el servicio de distribución de IP (DHCP) que hay, también, en tu ‘router’, junto con otro dato fundamental, la IP del DNS, que está grabada en tu ‘router’ y es, como no, el de la operadora.
Mi router, al entrar en la configuración, me deja claro qué es lo que no voy a poder hacer:
La configuración de DNS se hace de forma automática cuando se conecta a la red. Alternativamente usted puede configurar manualmente sus propios servidores DNS en sus dispositivos.
Podemos hacer algo para que el ‘router’ no le dé a tus dispositivos ese DNS de operadora y, así, evitar que tu ISP resuelva los dominios:
- Crear nuestro propio DNS. ¿Por qué?
- Para ocultar la solicitud de resolución de dominio. Lo haremos mediante DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT). Así, tu petición de saber la IP de
www.binariuscogitans.com
ya no se envía en texto plano a tu ISP. En su lugar, esa solicitud viaja cifrada hacia un DNS recursivo de tu elección (yo uso Quad9). El ISP solo ve el servidor DNS, pero no ve las consultas DNS. - Bloquear anuncios e intentos de rastreo.
- Control parental.
- Bloqueo de servicios a los que no quiero que se acceda desde casa.
- Quitamos carga a la «kk» de ‘router’ que te ha dado la operadora.
- Para ocultar la solicitud de resolución de dominio. Lo haremos mediante DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT). Así, tu petición de saber la IP de
- Crear nuestro propio DHCP. ¿Por qué?:
- No tendremos que asignar tu nuevo y flamante DNS de forma manual a todos tus dispositivos; al otorgarle a tu dispositivo una IP, también daremos la IP de tu DNS.
- Control sobre las IPs que quieres o no quieres servir (por privacidad, evitar seguimiento, bloquear anuncios, etc).
- Cuando se conecte un invitado a nuestra red «disfrutará» de todos los filtros, bloqueos y privacidad de los que tu hogar ya goza.
- Quitamos carga a la «kk» de ‘router’ que te ha dado la operadora.
Ahora bien, aunque uses DNS recursivos, como Quad9, y lo hagas de forma encriptada, lo que se le quita al ISP es el conocimiento del nombre del dominio; en el momento en que tu navegador ya conecta a la IP de destino, ese paquete debe pasar por el ISP, y el ISP debe leer esa IP para enviarlo correctamente. El ISP puede descubrir el dominio asociado a esa IP. No siempre es perfecto (porque una IP puede hospedar múltiples dominios), pero en muchos casos sí revela el sitio.
Sin una VPN que encapsule y cifre el paquete completo (incluida la IP de destino) y lo dirija a un servidor externo, el ISP debe leer la dirección final para que Internet funcione. Con una VPN, tu ISP ve que te estás conectando a una única dirección IP: el servidor de VPN. No ve el destino final ni el contenido. ¡Chimpún! Y sí, si te preguntas si un servicio de VPN proporciona DNS, la respuesta es afirmativa, con lo que no es necesario montarte tu propio DNS.
«Ya, pero entonces… el proveedor de VPN sí sabe dónde me conecto.» En este mundillo de los paquetes al final hay que saber de dónde vienen y a dónde van, o no llegarían nunca; la mayoría proveedores de VPN no registran tu actividad y llevan a cabo auditorías certificarlo.
En mi caso, donde todos mis equipos son Apple, uso Relay Privado de iCloud, del que ya escribí un artículo, una función diseñada para proteger tu privacidad en el navegador Safari y en el tráfico DNS/Mail, pero no es una VPN. Cualquier actividad fuera de la cobertura del Relay Privado de iCloud queda al alcance del ISP, con excepción de la resolución de dominio, que la realizo en mi propio DNS con DoH.
Conclusión
En un mundo en el que no nos ponen fácil disfrutar de un derecho fundamental como es la privacidad, con grandes corporaciones que lo saben todo sobre ti (pero también tu ISP o, incluso, el fabricante de tu TV), tenemos algunas cartas en nuestra mano que debemos jugar si lo que quieres es correr las cortinas del salón para tener algo de privacidad y no exponerte a que los viandantes te vean con ese pijama roído del que no te quieres deshacer.
Te he dado algunos recursos que pueden ayudarte a tener algo de privacidad pero, como ves, el la privacidad abosoluta no existe… aunque no hemos hablado de la red Tor que, combinado con una VPN, es ya el modelo paranoia de la privacidad… 🧐 lo dejaremos para un próximo episodio.
Ahora es cosa tuya pasar a la acción. Si dispones de algún equipo de bajo consumo en casa, que pueda estar operativo 24×7, tienes para entretenerte este próximo fin de semana 😉.
Te dejo los artículos al respecto que te pueden ayudar en la faena: