Las DNS 1.1.1.1 de Cloudflare no son tan seguras como prometían

Cambiar las DNS es algo que es muy recomendable hacer, ya que la mayoría de operadores de España bloquean algunas páginas web como The Pirate Bay. Lo más común suele ser usar las DNS de Google, pero hay otras muchas que son iguales e incluso mejores. Las DNS 1.1.1.1 de Cloudflare prometían no sólo ser más seguras que las de Google, sino también más rápidas dependiendo de la conexión. Sin embargo, no son tan seguras como prometían.

Ha sido la propia Cloudflare la que ha publicado los resultados de una auditoría privada de sus DNS, analizando elementos tales como el almacenamiento de las solicitudes en sus servidores. La información que recopilan los resolutores de DNS es muy sensible, ya que saben qué webs visitan los usuarios. La compañía afirmó desde el primer momento en su lanzamiento de 2018 que borran todos los registros tras 24 horas, y nunca escriben las direcciones IP completas de los usuarios. Con ello, se comprometían con algo que demandan cada vez más navegadores web.

Auditoría a Cloudflare para saber si sus DNS son seguras

A pesar de todo ello, los usuarios estaban algo inquietos por toda la información que recibía la compañía, aunque fuese respetando el anonimato y sólo durante 24 horas. Estas preocupaciones aumentaron cuando Firefox impuso las DNS de Cloudflare por defecto para la implementación de DNS por HTTPS.

google chrome dns https

Para intentar calmar a los usuarios, la compañía contrató a la empresa de auditoria independiente KPMG para analizarlas. El informe ha desvelado que Cloudflare ha cumplido su palabra con respecto a la gestión de datos de los usuarios, pero también han descubierto algunos fallos que han obligado a Cloudflare a cambiar su política de privacidad.

IPs almacenadas temporalmente junto a algunos datos

Por ejemplo, Cloudflare afirma que no se escribía ninguna dirección IP en un disco duro. Sin embargo, la auditoría descubrió que la implementación retiene el 0,05% de los paquetes, incluyendo información como direcciones IP (de las cuales borran el último octeto en IPv4 y los 80 últimos bits en IPv6). La compañía argumenta en su defensa que esta información pasa por los routers de manera aleatoria y que sólo se almacenaba para solucionar posibles problemas de red o para mitigar posibles ataques DDoS.

La auditoría ha revelado también que algunos registros se guardaban durante 25 horas, y no durante 24, además de que algunos datos anonimizados se almacenaban de manera indefinida.

A pesar de estos pequeños fallos, la auditoría concluye que Cloudflare estaba configurado tal y como prometen al público, cumpliendo casi al 100% con todo lo que dicen. Y ahora, tras introducir modificaciones para subsanar los fallos que ha revelado el informe, ya sí que cumplen al 100% con las promesas. También han hecho cambios en la política de privacidad para explicar con un lenguaje más claro algunas de las promesas de privacidad que hacen.