Fuga de DNS
¿Qué es Fuga de DNS?
Fuga de DNSFallo de privacidad en el que las consultas DNS escapan del túnel VPN o Tor y se envían en claro al proveedor del usuario o al resolver por defecto.
Una fuga de DNS se produce cuando el tráfico de resolución de nombres escapa del túnel cifrado que debería transportarlo, exponiendo cada dominio que visita el usuario a su ISP, a la Wi-Fi pública o al proveedor de DNS. Las causas habituales son configuraciones de split tunnel, IPv6 activado mientras la VPN solo gestiona IPv4, la resolución multihomed de Windows que envía consultas paralelas por todas las interfaces o funciones de smart resolution del sistema. Aunque el tráfico web vaya por HTTPS, los metadatos de DNS revelan patrones de navegación y permiten censura o rastreo. Las defensas incluyen forzar todo el DNS por el túnel, bloquear el resolver del sistema con un cortafuegos, desactivar IPv6 si no está soportado y usar DoH o DoT hacia el resolver de la VPN.
● Ejemplos
- 01
Cliente VPN que enruta el DNS IPv4 por el túnel pero deja las consultas IPv6 hacia el resolver del ISP.
- 02
Windows enviando consultas DNS en paralelo por Ethernet y por el adaptador VPN, exponiendo los dominios visitados.
● Preguntas frecuentes
¿Qué es Fuga de DNS?
Fallo de privacidad en el que las consultas DNS escapan del túnel VPN o Tor y se envían en claro al proveedor del usuario o al resolver por defecto. Pertenece a la categoría de Privacidad y protección de datos en ciberseguridad.
¿Qué significa Fuga de DNS?
Fallo de privacidad en el que las consultas DNS escapan del túnel VPN o Tor y se envían en claro al proveedor del usuario o al resolver por defecto.
¿Cómo funciona Fuga de DNS?
Una fuga de DNS se produce cuando el tráfico de resolución de nombres escapa del túnel cifrado que debería transportarlo, exponiendo cada dominio que visita el usuario a su ISP, a la Wi-Fi pública o al proveedor de DNS. Las causas habituales son configuraciones de split tunnel, IPv6 activado mientras la VPN solo gestiona IPv4, la resolución multihomed de Windows que envía consultas paralelas por todas las interfaces o funciones de smart resolution del sistema. Aunque el tráfico web vaya por HTTPS, los metadatos de DNS revelan patrones de navegación y permiten censura o rastreo. Las defensas incluyen forzar todo el DNS por el túnel, bloquear el resolver del sistema con un cortafuegos, desactivar IPv6 si no está soportado y usar DoH o DoT hacia el resolver de la VPN.
¿Cómo defenderse de Fuga de DNS?
Las defensas contra Fuga de DNS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Fuga de DNS?
Nombres alternativos comunes: Bypass de DNS, Fuga del resolver.
● Términos relacionados
- privacy№ 1214
Fuga de VPN
Fallo del túnel VPN que permite que tráfico identificativo —IP, DNS, IPv6 o WebRTC— salga fuera del canal cifrado.
- privacy№ 1231
Fuga de IP por WebRTC
Fuga del navegador en la que la maquinaria STUN/ICE de WebRTC expone la IP real local y pública del usuario, incluso con VPN o proxy activos.
- network-security№ 340
DNS over HTTPS (DoH)
Protocolo que cifra las consultas DNS transportándolas dentro de HTTPS, evitando que un observador en la ruta pueda leer o modificar las búsquedas.
- network-security№ 341
DNS over TLS (DoT)
Protocolo que cifra las consultas DNS dentro de una sesión TLS dedicada, protegiéndolas de escuchas y manipulaciones en la red.