La política de censura de DNS de Malasia es una amenaza global para la libertad en Internet
La Comisión de Comunicaciones y Multimedia de Malasia (MCMC) causó bastante revuelo a principios de este mes al ordenar a los proveedores de servicios de Internet (ISP) del país que redirigieran las consultas de DNS enviadas a proveedores alternativos de DNS de vuelta a sus propios servidores.
En ese momento, la MCMC afirmó que la medida tenía como objetivo proteger al público contra “contenidos perjudiciales”, es decir, sitios web “relacionados con juegos de azar en línea, pornografía, violación de derechos de autor, fraudes y otras infracciones a la ley de Malasia.”
Antes de profundizar en el tema, retrocedamos un poco y recordemos qué es el DNS y cuál es su papel en la infraestructura de la web.
DNS significa Sistema de Nombres de Dominio, y actúa esencialmente como el "diccionario" de internet. Cuando escribes una dirección web en el navegador, como www.ejemplo.com, tu computadora necesita traducir esa dirección legible para humanos en una dirección IP, que es una etiqueta numérica que identifica un servidor específico en internet. Esta traducción es realizada por un resolutor de DNS. Este resolutor generalmente es operado por tu ISP o por un servicio de DNS de terceros que has configurado en tu dispositivo.
En el contexto de la orden de la agencia reguladora de Malasia para que los ISP redirijan las consultas de DNS, esto significa que, si los usuarios intentan utilizar proveedores alternativos de DNS (como Google DNS, Cloudflare DNS o AdGuard DNS), sus consultas serán interceptadas y redirigidas a los servidores de DNS del ISP. Todo esto, supuestamente, con el objetivo de protegerlos de sitios web “perjudiciales”.
Qué tan fácil es para un ISP interceptar y redirigir el tráfico
Desde el punto de vista técnico, esto es posible porque los proveedores de internet (ISPs) tienen control sobre el tráfico de DNS que pasa por sus redes. Sin embargo, aquí es importante hacer una distinción. Si utilizas un servidor de DNS no encriptado, en texto plano, que utiliza los protocolos IPv4 o IPv6 para devolver direcciones IP, tu proveedor de internet puede ver los sitios que visitas. Esto significa que tus consultas y respuestas de DNS pueden ser leídas, interceptadas y potencialmente modificadas por cualquiera que tenga acceso al tráfico de la red, principalmente tu ISP. Históricamente, el tráfico de DNS no ha sido encriptado, y este es el caso para la mayoría de los usuarios.
No obstante, será mucho más difícil para los ISPs hacer lo mismo con las solicitudes de los usuarios enviadas a través de protocolos de DNS encriptados. Los protocolos de DNS encriptados, aunque todavía no son ampliamente utilizados, están ganando terreno al abordar los problemas de privacidad inherentes al DNS no encriptado. Varios protocolos seguros se usan para transmitir estas solicitudes encriptadas. Los más adoptados son DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT). También hay un nuevo protocolo de vanguardia: DNS-over-QUIC (DoQ), que es superior a los dos en términos de velocidad y fiabilidad. Aún está en las primeras etapas de adopción: AdGuard DNS fue el primer resolutor público en ofrecerlo.
Aunque el uso de un servidor de DNS encriptado protege tu historial de navegación de ser monitoreado por tu ISP, este aún puede deducir que estás utilizando un servidor de DNS alternativo. Esto sucede debido a un proceso conocido como “bootstrap”. Cuando tu dispositivo intenta usar por primera vez un servidor de DNS encriptado, necesita resolver la dirección IP de ese servidor mediante DNS tradicional, no encriptado. Esta etapa inicial, conocida como bootstrap, implica el envío de una consulta estándar y no encriptada al servidor DNS de tu ISP para obtener la dirección IP del servidor DNS encriptado. Esto da a tu ISP una pista de que probablemente estés utilizando un servidor de DNS no proporcionado por él.
Sin embargo, este proceso no es tan simple y puede generar muchos falsos positivos. En términos de implementación, no estamos seguros de si los ISPs irían más allá de simplemente redirigir el tráfico. Mucho dependerá del alcance de la orden y de las responsabilidades de un ISP bajo esta. A primera vista, parece que la única forma en que los ISPs podrían garantizar que los usuarios con DNS encriptado no recurran a proveedores de DNS alternativos sería desconectándolos de internet, lo que parece una solución extrema.
Conclusión: si utilizas un DNS encriptado, tendrás más posibilidades de protegerte contra la redirección forzada del tráfico de DNS.
La aplicación de la orden fue aplazada: posibles problemas
Varios días después de que la MCMC emitiera la orden, su aplicación fue suspendida. La viceministra de Comunicaciones de Malasia, Teo Nie Ching, anunció el 9 de septiembre que las autoridades debían haber consultado a los líderes del sector antes de seguir adelante con la orden. Mencionó que este proceso de consulta se llevará a cabo ahora, sin un plazo específico definido. "Queremos que la MCMC lleve a cabo una interacción adecuada y exhaustiva. Si necesitan un mes, que lo hagan. Si necesitan tres meses, que lo hagan,” dijo.
La reversión del gobierno malayo sobre el tema sigue a las críticas que recibió la MCMC tras forzar a los ISPs a cumplir su determinación. Hubo informes de que personas que utilizaban resolutores públicos de DNS operados por Google y Cloudflare estaban teniendo problemas para acceder a Internet. También hubo quejas de sitios web que afirmaban alojar contenido legítimo, pero que se volvieron inaccesibles al verse atrapados en esta situación. La MCMC aconsejó a los propietarios de esos sitios que contactaran a sus ISPs, y si eso no funcionaba, a la propia MCMC directamente —pero aparentemente eso no fue suficiente, ya que la aplicación de la orden ahora está suspendida indefinidamente.
Existen varios escenarios sobre lo que pudo haber salido mal. Pero primero necesitamos hacer una pausa rápida para abordar algo importante. Para empezar, no creemos que órdenes como esta tengan lugar en el mundo digital interconectado de hoy. El espíritu de esta orden está en desacuerdo con la idea de una Web libre, y no solo eso: interfiere con nuestro derecho básico a elegir el servicio que mejor se adapta a nuestras necesidades.
Aunque la intención pueda ser proteger a los usuarios de contenido perjudicial, otorgar tanto control al gobierno es arriesgado y abre puertas a posibles abusos. Creemos firmemente que corresponde al usuario individual decidir qué contenido quiere consumir y cuál quiere bloquear. Por ejemplo, servicios de DNS públicos gratuitos como AdGuard DNS ofrecen modos sin filtro, bloqueo de anuncios y protección familiar para ayudar a los usuarios a gestionar su experiencia en línea. El usuario debe tener esta autonomía, no el proveedor de servicios.
En cuanto a lo que pudo haber salido mal en la aplicación, además del descontento popular, una de las posibilidades es que los servidores de DNS aprobados por el gobierno hayan sido sobrecargados con las solicitudes redirigidas de los servidores de DNS bloqueados. Algunos pueden haber sido afectados por el problema de falsos positivos, donde sitios aparentemente legítimos no se abrían.
¿Qué sigue?
Las autoridades malasias pueden haber enviado la decisión para revisión, pero no han vuelto al punto de partida. La idea aún está muy presente, y hay una buena posibilidad de que sea implementada. Si no la próxima semana, en algún momento de este año.
La MCMC también afirmó que no prohibiría redes privadas virtuales (VPNs) como parte de la aplicación de la orden. El cifrado proporcionado por una VPN garantiza que el ISP no pueda ver las consultas de DNS del usuario ni ningún otro dato. El ISP puede detectar cuando un usuario está conectado a una VPN e identificar la dirección IP del servidor de la VPN, pero no puede acceder o alterar el contenido del tráfico, incluidas las consultas de DNS realizadas a través de la VPN. Estas consultas de DNS serán gestionadas por los propios servidores DNS de la VPN.
A primera vista, la decisión de no bloquear servicios de VPN parece extraña, ya que el uso de una VPN probablemente perjudicaría la eficacia de la orden. Una posible explicación es que las autoridades no esperan que muchas personas hagan el esfuerzo de usar VPNs para eludir las restricciones.
Al no tener como objetivo a las VPNs, el gobierno malasio estaría creando una brecha para acceder a contenido bloqueado. Sin embargo, la orden sigue siendo preocupante para la privacidad y seguridad de los usuarios. Podría otorgar a los ISPs y al gobierno acceso irrestricto a la lista de nombres de dominio (como google.com, dailymail.com o pornhub.com) que el usuario haya visitado. Además, si los usuarios de DNS cifrado ven cortado su acceso a Internet, esto afectaría su experiencia (como mínimo), su seguridad y comprometería los estándares de seguridad en línea en general.
Más allá de estas preocupaciones, tales políticas pueden servir como ejemplo para otros países, especialmente aquellos con poca consideración por las libertades democráticas, estableciendo un precedente potencialmente peligroso. La comunidad debe unirse contra estas amenazas a una web libre y dejar clara su desaprobación. Hoy es Malasia, pero mañana podría ser tu país.