Por qué los resolvedores de DNS son la próxima línea de frente de Internet

Los resolutores del Sistema de Nombres de Dominio (DNS) son la silenciosa columna vertebral de nuestra vida diaria en Internet. Su rendimiento constante nos mantiene conectados, resolviendo nombres de dominio, entregando sitios web y permitiendo cada ping y cada clic. Su papel en la infraestructura los convierte en un campo de batalla para la libertad en Internet.

Ya sean autoritarios o democráticos, los gobiernos recurren cada vez más a los resolutores DNS como herramientas para hacer cumplir la ley. Las órdenes de bloqueo -a menudo jurídicamente imprecisas- se envían de forma rutinaria a los proveedores de servicios de Internet (ISP), que recurren por defecto a las intervenciones a nivel de DNS porque son fáciles de aplicar.

Pero fácil no significa benigno.

Como advirtió Douglas Fischer, ingeniero de redes brasileño, los usuarios pierden la confianza cuando los ISP bloquean dominios sin dar explicaciones. Esa desconfianza puede empujarles hacia los resolutores de DNS públicos, a veces más fiables pero no siempre más transparentes.

El último informe de Digital Medusa, elaborado con la contribución de datos de Sebastián Castro (.IE), investiga el panorama de los resolvedores DNS, rastreando patrones de consolidación, censura y gobernanza. He aquí un vistazo a lo que hemos encontrado y por qué es importante.

Según los datos de APNIC, el uso de servidores DNS se ha reducido a la mitad desde 2022. Esto puede sonar a que la descentralización está ganando, pero eso es sólo una parte del cuadro.

Algunos usuarios siguen confiando en unos pocos resolvedores DNS públicos dominantes a nivel mundial. La reducción no se distribuye uniformemente entre países o regiones. A medida que se reduce el conjunto de resolvedores, crece la influencia de los restantes. Esta concentración facilita que los gobiernos y los actores poderosos los presionen o coaccionen, a menudo de formas que merman los derechos de los usuarios y fragmentan la Internet global.

Los resolvedores DNS de código abierto son una victoria de transparencia y pueden contribuir a la descentralización, pero la sostenibilidad y la escala siguen siendo difíciles.

Muchos operadores apoyan las herramientas de código abierto, pero un despliegue resistente a gran escala necesita algo más que código. También necesitamos modelos sólidos de gobernanza comunitaria para que estas herramientas se conviertan en alternativas viables a los servicios centralizados y gestionados por empresas.

En resumen, el código abierto sin una administración abierta no es suficiente. Si queremos que la descentralización sea real, debemos construir infraestructuras e instituciones.

Además, nosotros debemos equipar a los defensores de Internet con contranarrativas y pruebas, mostrando a los gobiernos lo que el bloqueo del DNS hace al acceso y a la confianza. Esfuerzos como el RIPE NCC Task Force on Best Practices for DNS Resolvers están sentando las bases esenciales, ofreciendo transparencia, responsabilidad y directrices para la preservación de la confianza.

Nuestra investigación demuestra que en lugares como Asia Central y África Occidental, donde la libertad de prensa y la apertura de Internet son limitadas, los usuarios suelen utilizar los resolvedores DNS públicos para eludir la censura local. 

Pero, esta solución sólo es tan fuerte como las políticas y la independencia de los resolutores. Si los gobiernos pueden presionar a un puñado de proveedores, pueden cortar estas vías de escape vitales.

Esto nos lleva a cerrar el círculo: la resistencia y la diversidad de los resolvedores DNS no son sólo cuestiones técnicas; son cuestiones de libertad.

Es necesario seguir investigando para comprender cómo se utilizan los resolutores DNS públicos durante los acontecimientos políticos y las revueltas. Hemos proporcionado algunas recomendaciones sobre cómo podemos medirlo potencialmente.

Imagínese caminando por una calle en busca de un salvavidas.

Ha oído hablar de un lugar: un centro, un refugio, un punto de encuentro. Quizá sea una clínica de asistencia jurídica, un grupo de apoyo LGBTQI o un centro de recursos para supervivientes. Conoce el nombre. Lo ha tecleado en su navegador. Pero cuando intenta visitarlo, no ocurre nada. Ningún mensaje. Ninguna explicación. Sólo un muro invisible.

No hay ningún cartel que le diga adónde ha ido a parar, ninguna puerta a la que llamar, ningún indicio de que alguna vez existió y nadie a quien denunciarlo. O imagine que simplemente está intentando acceder a un enlace de Google Drive, pero no puede porque está bloqueado.

El bloqueo a nivel de DNS no sólo restringe el acceso a los contenidos, sino que borra las vías digitales a servicios y espacios de los que la gente depende para su vida diaria y, a veces, a servicios de los que la gente depende para su seguridad, solidaridad y supervivencia. Interrumpe lo que los ingenieros de Internet llaman el "punto de encuentro": el punto en el que dos puntos finales, como un navegador y un servidor, se unen y establecen una conexión.

Entonces, ¿cómo sería un planteamiento de "Ninguna cita interrumpida"?

1. Seguridad basada en el navegador: Los navegadores modernos ya saben cómo proteger a los usuarios. Pueden detectar sitios de phishing, advertir sobre certificados caducados y marcar dominios de malware conocidos. En lugar de romper la resolución DNS, podemos utilizar los navegadores para mostrar advertencias significativas y conscientes del contexto, permitiendo a los usuarios comprender el riesgo en lugar de ocultar el contenido por completo.
2. Filtrado de contenidos a nivel de usuario: En lugar de censurar desde arriba, dé poder a los individuos. Las herramientas a nivel de red doméstica o de dispositivo permiten a los usuarios, padres o escuelas establecer sus propias preferencias de contenido. Este enfoque es descentralizado, flexible y respeta la agencia sin dejar de proporcionar seguridad.
3. Transparencia y aviso: Si algo debe bloquearse, indique al usuario por qué. Redirija a una página de notificación. Incluya información sobre la base jurídica, la autoridad emisora y un mecanismo de apelación.

El DNS es uno de los pocos puntos infraestructurales en los que todavía se puede recuperar la apertura y la resistencia. Pero hacerlo significa romper el hábito de la centralización, resistirse a la censura a nivel del DNS e invertir en alternativas abiertas, sostenibles y gobernadas por la comunidad.

Si no respondemos con mejores sistemas, más transparencia y políticas más inteligentes, podríamos estar cada vez más desconectados de la red abierta en la que confiamos.

Farzaneh Badiei es una académica en recuperación y fundó Medusa Digital para petrificar a los enemigos de una Internet global e interoperable.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.

Foto de Annie Spratt en Unsplash