Ante la queja de entidades y autiridades británicas, Mozilla da marcha atrás con una característica de privacidad
Mozilla da marcha atrás con una decisión criticada por proveedores de Internet en el Reino Unido. Se trata de la activación por defecto del protocolo DNS-over-HTTPS.
Según los proveedores de Internet británicos, la decisión original socavaría los estándares de seguridad del Reino Unido.
¿Con qué decisión Mozilla da marcha atrás?
La queja de los proveedores británicos viene por la implementación del llamado protocolo IETF RFC8484.
DNS-over-HTTPS envía las solicitudes DNS a través de una conexión HTTPS cifrada, en lugar de utilizar una solicitud UDP de texto plano clásica, como funciona el DNS clásico. Además, este protocolo funciona a nivel de aplicación en lugar de acerlo en el sistema operativo.
Es decir que todas las conexiones tienen lugar entre la aplicación y un servidor cifrado compatible con el protocolo.
Todo el tráfico se hace bajo HTTPS. Las consultas de nombres de dominio DoH se cifran y luego se envían por el tráfico web normal al resolvedor DoH DNS, que responde con la dirección IP de un nombre de dominio, también en HTTPS cifrado.
¿Cuál es el problema?
El problema es que cada aplicación controla la privacidad de sus consultas DNS y puede crear una lista de servidores DNS sobre HTTPS (resolvers) en su configuración, Esto hace que no tenga que depender de los servidores DNS predeterminados del sistema operativo.
En otras palabras, las solicitudes de DNS de un usuario son invisibles para terceros, como los ISP; y todas las consultas y respuestas de DNS DoH ocultas dentro de una nube de conexiones cifradas, indistinguibles del resto del tráfico HTTPS. En otras palabras, los ISP y los servicios de inteligencia no pueden monitorizar por dónde navegamos.
Los proveedores de servicios de Internet británicos deben bloquear por ley ciertos tipos de sitios web. El el caso de los que alojan contenidos que infringen los derechos de autor o que son marcas registradas. También están, los que hacen bloqueos voluntarios a sitios de pedofilia y pornografía.
Rechazo político
No solo las empresas criticaron la decisión. También lo hicieron parlamentarios, fundaciones y organismos de inteligencia.
Una diputada del Partido Laborista afirmó en la Cámara de los Comunes calificó la decisión de «amenaza para la seguridad en línea del Reino Unido».
A las críticas se unió la Internet Watch Foundation (IWF). Se trata de un grupo de vigilancia británico con la misión declarada de minimizar la disponibilidad de contenido de abuso sexual infantil en línea. Para ellos los desarrolladores de navegadores estaban arruinando años de trabajo para proteger al público británico del contenido abusivo.
Por supuesto que no podía faltar el GCHQ, el servicio de inteligencia británico encargado de la vigilancia electrónica. Para ellos el protocolo impediría las investigaciones policiales y podría socavar las protecciones gubernamentales existentes contra los sitios web maliciosos.
Por qué Mozilla da marcha atrás
También Google planea implementar el protocolo en su navegador Chrome, aunque Mozilla está más adelantado en su desarrollo, motivo por el cual se llevó todas las críticas. Firefox empzó a probar el protocolo a principios del año pasado, y lo incluye (aunque no esté activado) desde la versión 60.
En declaraciones a medios británicos, la Fundación se manifestó dispuesta a trabajar con los entes reguladores del país. El objetivo es lograr que el soporte de DoH de Firefox no interfiera con las listas de bloqueo de sitios web del país y los sistemas de control parental de los ISP.
Al principio, Mozilla pidió que las autoridades hicieran pública la lista de sitios bloqueados por las autoridades e ISP, para poder bloquearlas desde el navegador. Sin embargo, las autoridades se opusieron asegurando que eso sería como hacer unas «páginas amarillas de la pornografía infantil». Para ellos, esto haría más fácil encontrar este tipo de contenido.
De ahí que Mozilla optara por no activar la opción por defecto.
Confieso que tengo mis dudas de que al gobierno y proveedores les importe el bienestar de los usuarios. Lo que les preocupa es la pérdida de control. Tanto la pornografía infantil como la seguridad en línea son cosas que se pueden resolver por otros caminos que no signifiquen la vulneración de la privacidad de los usuarios.