A las operadoras no les hace ninguna gracia perder el control de algunos servicios asociados a la conexión a internet que tradicionalmente han dependido de ellas. Uno de esos servicios son los servidores DNS, utilizados por los dispositivos del cliente para resolver los nombres de dominios en direcciones IP, entre otras funciones.
Prestar este servicio permite a las compañías conocer los hábitos de navegación de los usuarios, lo cual, suspicacias a parte, les viene bien para administrar mejor su red sabiendo cuáles son los destinos más habituales.
En los últimos años, las grandes tecnológicas les han ido comiendo terreno al ofrecer servicios alternativos que aportan algunas mejoras, como mayor velocidad, más privacidad y protección contra amenazas. Los servidores DNS de Google son el primer y más famoso ejemplo, pero hay numerosas alternativas, como los de DNS Cloudflare y Quad9, por citar un par.
En el caso de Orange, la operadora decidió grabar a fuego en el router Livebox sus propios DNS para que el usuario no pueda modificarlos, así que los clientes que quieren usar DNS alternativos no tienen más opción que cambiar el router o configurar a manos las DNS en cada dispositivo.
DNS Seguro de Vodafone secuestra las DNS elegidas por el usuario
Lo que mucha gente desconoce, a pesar de no ser ninguna novedad, es que Vodafone hace algo similar. En su caso, el router sí permite modificar los DNS si el cliente lo desea, pero por defecto trae activa una función denominada DNS Seguro, Secure DNS o Proxy DNS, según el modelo, que le permite secuestrar los servidores DNS de terceros sin que el usuario se percate.
Al estar activo DNS Seguro en el router de Vodafone, este intercepta cualquier paquete UDP que salga de la red local a internet con destino al puerto 53, que es el utilizado por los servidores DNS, y responde suplantando al servidor de destino con las respuesta generada por los servidores DNS oficiales de Vodafone.
Esta función hace que configurar un dispositivo de la red local con DNS ajenas a las de Vodafone sea inútil, pues el router en silencio responderá por ellos. Aunque un equipo tenga las DNS de Google 8.8.8.8 configuradas, la respuesta procederá de dentro de la red de Vodafone.
Al contrario de lo que parece indicar su nombre, es una función que no solo no aporta seguridad, sino que la reduce, además de complicar el diagnóstico cuando hay problemas. Esto es porque el servicio DNS Seguro no soporta características avanzadas como DNSSEC, que sirve para autentificar que la resolución registro DNS ha sido realizada por el servidor de origen.
Relacionado: Cómo saber qué servidor DNS está realmente resolviendo las peticiones de tu dispositivo
