Fuga de DNS

Qué es una fuga de DNS

Una fuga de DNS es un fenómeno en el que, a pesar de estar usando una VPN, las consultas DNS se envían fuera del túnel VPN (normalmente a los servidores DNS del ISP).

El propósito de una VPN es encriptar las comunicaciones y ocultar los destinos de acceso a terceros, pero cuando ocurre una fuga de DNS, el ISP o los administradores de red pueden ver a qué dominios estás accediendo. Es decir, aunque ocultes tu dirección IP con la VPN, la información de los sitios que visitas se filtra, lo cual es un problema grave.

Causas de las fugas de DNS

Las fugas de DNS ocurren por múltiples causas.

• Configuración DNS predeterminada del SO: Windows puede enviar consultas al servidor DNS configurado en el adaptador de red físico incluso durante una conexión VPN. Especialmente cuando la función "Resolución inteligente de nombres multihomed" está habilitada, se realizan consultas en paralelo a servidores DNS fuera del túnel VPN.
• Configuración deficiente del cliente VPN: Ocurre cuando la aplicación VPN no configura correctamente el enrutamiento para forzar el tráfico DNS dentro del túnel. Común en servicios VPN económicos.
• Fuga de DNS por IPv6: Casos donde la VPN solo tuneliza IPv4 y las consultas DNS de IPv6 se filtran fuera del túnel. Frecuente en VPN con soporte IPv6 insuficiente.
• Fuga vía WebRTC: Casos donde la función WebRTC del navegador realiza consultas DNS eludiendo la VPN.

Cómo detectar fugas de DNS

La detección de fugas de DNS es relativamente sencilla. Puedes verificarlo con los siguientes pasos.

1. Con la VPN conectada, accede a un sitio de prueba de fugas de DNS (también puedes verificar la información del servidor DNS en la página principal de nuestro sitio).
2. Verifica la dirección IP y la organización del servidor DNS mostrado.
3. Si el servidor DNS no es del proveedor VPN sino del ISP, hay una fuga de DNS.

Por ejemplo, si estás usando un ISP japonés y te conectas a un servidor VPN en Estados Unidos, pero el servidor DNS se muestra como el de tu ISP japonés, hay una fuga de DNS.

También puedes verificarlo desde la línea de comandos. En Windows, ejecuta nslookup example.com y verifica si la dirección del servidor DNS que responde pertenece a tu proveedor VPN.

Contramedidas para fugas de DNS

Presentamos contramedidas concretas para prevenir fugas de DNS, en orden de prioridad.

• Verificar la configuración DNS de la VPN: Los servicios VPN confiables operan sus propios servidores DNS y fuerzan el tráfico DNS dentro del túnel. Verifica que la "protección contra fugas de DNS" esté habilitada en la configuración de la aplicación VPN.
• Habilitar DNS over HTTPS (DoH): Al habilitar la función DoH del navegador, las consultas DNS se encriptan con HTTPS, lo que dificulta la interceptación del contenido incluso si se filtran fuera del túnel.
• Habilitar el kill switch de VPN: Una función que bloquea toda comunicación cuando la conexión VPN se interrumpe. Previene no solo fugas de DNS sino también la exposición de la dirección IP.
• Deshabilitar IPv6 (medida provisional): Si la VPN no es compatible con IPv6, deshabilitar IPv6 en el SO puede prevenir fugas de DNS vía IPv6. Sin embargo, se pierden los beneficios de IPv6, por lo que lo ideal es esperar a que la VPN soporte IPv6.

Métodos prácticos de prueba de fugas de DNS

Para determinar con precisión si hay fugas de DNS, es importante verificar con múltiples métodos. Una sola prueba puede pasar por alto algunos casos.

Herramientas de prueba basadas en web: dnsleaktest.com ofrece dos tipos: "Standard test" y "Extended test". El Extended test envía múltiples consultas DNS y puede detectar fugas intermitentes, por lo que se recomienda este. ipleak.net es una herramienta integral que verifica simultáneamente fugas de DNS, fugas de WebRTC y exposición de dirección IP.

Verificación por línea de comandos: En Windows, ejecuta nslookup example.com y verifica la dirección del servidor DNS que responde. En macOS / Linux, verifica la línea SERVER en la salida de dig example.com. Si la dirección IP del servidor DNS mostrado no es de tu proveedor VPN sino de tu ISP, hay una fuga. Para una verificación más detallada, puedes rastrear toda la ruta de resolución DNS con dig +trace example.com.

Cómo leer los resultados: Verifica la dirección IP y el nombre de la organización del servidor DNS mostrado en los resultados. Durante una conexión VPN, el servidor DNS debería ser uno propiedad del proveedor VPN (o un DNS público designado por el proveedor VPN). Si aparece el nombre de un ISP (NTT, KDDI, SoftBank, etc.), hay una fuga de DNS. Si aparecen múltiples servidores DNS y entre ellos hay servidores del ISP, también es una fuga parcial.

Qué hacer si se detecta una fuga: Primero verifica y habilita la configuración de protección contra fugas de DNS en la aplicación VPN. Si no se resuelve, cambia manualmente el servidor DNS en la configuración de red del SO al de tu proveedor VPN. Deshabilitar la "Resolución inteligente de nombres multihomed" de Windows también resuelve muchos casos. Habilitar DNS over HTTPS proporciona una doble defensa, ya que encripta el contenido de las consultas DNS incluso si ocurre una fuga.

Conceptos erróneos comunes

Si uso VPN no ocurren fugas de DNS

Dependiendo de la calidad y configuración de la VPN, pueden ocurrir fugas de DNS. Especialmente en VPN gratuitas o con configuración insuficiente, hay una alta probabilidad de fugas de DNS. Siempre debes realizar una prueba de fugas después de conectar la VPN.

Las fugas de DNS no son un problema importante

Las consultas DNS contienen todos los nombres de dominio a los que accedes. El historial de acceso a sitios médicos, sitios políticos y servicios específicos queda registrado por el ISP, por lo que el impacto en la privacidad es grave. Si el propósito de usar VPN es la protección de la privacidad, una fuga de DNS socava fundamentalmente ese objetivo.

Términos relacionados

Artículos relacionados