Filtrado DNS frente a filtrado web: ¿cuál es la diferencia?

Ambas políticas de filtrado de contenido básicamente se esfuerzan por lograr el mismo objetivo de ciberseguridad: proteger al usuario (y su sistema) del contenido dañino de sitios web maliciosos u otros actores maliciosos. Cada forma de control de acceso se construye de manera diferente para realizar funciones relacionadas, pero separadas.

El filtrado DNS se basa en el sistema de nombres de dominio (DNS) y está orientado a interceptar sitios web potencialmente peligrosos antes de que se pueda acceder a ellos. El filtrado web implica medidas de seguridad más enriquecidas y completamente desarrolladas que no solo detectan sitios maliciosos, sino que también realizan exámenes analíticos de dichos sitios y sus métodos. 

Antes de continuar, tomemos un momento para revisar exactamente qué tipos de contenido web se buscan activamente para su exclusión por ambos tipos de filtrado.

En épocas anteriores, “contenido inapropiado” significaba “contenido para adultos”, que tradicionalmente se usaba para hacer referencia a contenido que era explícitamente sexual. Las tendencias recientes han hecho que este término general se amplíe para cubrir una gama más amplia de material potencialmente ofensivo, incluidos sitios que trafican con discursos de odio o ideologías violentas.

Además, debido en parte al auge en el uso de cámaras de teléfonos celulares y al aumento sin precedentes de las redes sociales, ahora hay una preponderancia en línea de secuencias de video capturadas por los usuarios. Este tipo de contenido incluye todas las cosas notables, algunas de las cuales detallan actos explícitos e ilegales. Todo ese contenido puede considerarse inapropiado, aunque este término subjetivo sigue abierto a alguna interpretación.

Ahora pasamos a un contenido más puramente siniestro. Puede que contenga o no imágenes ofensivas, pero probablemente no, porque es más eficaz que parezca perfectamente normal, como un caballo de Troya proverbial. De esa manera, lo más probable es que los usuarios no sospechen que contiene algo más que contenido normal.

Sin embargo, esta normalidad engañosa puede ocultar una amplia gama de ciberataques, incluida la introducción de malware en un sistema para intentar comprometer la seguridad de la red. Este tipo de amenaza adquiere máxima urgencia cuando implica el uso de ransomware diseñado para mantener como rehenes los sistemas de los usuarios hasta que se extorsione alguna forma de pago. El contenido dañino también puede ocultar ataques de phishing que intentan obtener datos confidenciales.

La tercera categoría de contenido web que requiere filtrado implica contenido que no es obsceno o incendiario, ni probablemente perjudicial para la solución de seguridad de una organización. No es deseado, y puede ser por varias razones.

Si bien es cierto que el término “no deseado” también se aplica al contenido inapropiado y dañino, aquí realmente estamos hablando de sitios que tienen característica de contenido improductivo. Los sitios de redes sociales y las salas de chat no moderadas califican en esta categorización, al igual que los sitios que tienen la característica de transmisión de video. E incluye sitios web específicos que utilizan redireccionamientos para llevar al usuario a otros sitios web, o sitios que bombardean al espectador con secuencias interminables de mensajes publicitarios. 

El filtrado DNS funciona detectando solicitudes de DNS potencialmente peligrosas antes de que puedan ejecutarse y compararse con direcciones IP. La secuencia es así: 

1. Un usuario inicia el proceso solicitando acceso a un determinado sitio web.
2. En respuesta a dichas consultas de DNS, el sistema del usuario emite una solicitud de DNS para convertir el nombre de dominio más amplio (ejemplo: ibm.com) en una dirección IP.
3. Los servicios de filtrado DNS entran en escena. Un filtro DNS compara el dominio solicitado con una “lista de bloqueo” de sitios web potencialmente peligrosos.
4. Si el dominio solicitado no está señalado en la lista de bloqueo marcada, la solicitud se cumple y el sistema procede a acceder al sitio web en cuestión.
5. Alternativamente, si el sitio web solicitado ha sido citado en la lista de bloqueo, el filtrado DNS bloquea el acceso a ese sitio y evita que los servidores DNS utilicen la dirección IP.

Vale la pena señalar que cuando un dominio es bloqueado por soluciones de filtrado DNS, ese bloqueo pertenece a todas las páginas web dentro de ese dominio, y no solo a ciertas páginas potencialmente peligrosas. Desde el punto de vista de la seguridad, el filtrado DNS ayuda a prevenir la infiltración de sitios web de phishing y dominios maliciosos.

El proceso de filtrado web funciona de manera un poco diferente al filtrado DNS. Es una herramienta más precisa que el filtrado DNS y tiene una mayor profundidad analítica. Sin embargo, carece del tiempo preventivo del filtrado DNS, y esa es una distinción clave entre los dos. Los pasos del filtrado web son comparativamente simples: 

1. Los filtros web examinan el tráfico web real que ya se está moviendo hacia el navegador del sistema y está en proceso de carga.
2. Los filtros web permiten al usuario bloquear URL específicas, partes de sitios web específicos o incluso categorías enteras de sitios web.
3. Los administradores de red utilizan el control granular preciso que ofrece el filtrado web para personalizar su acceso. Este método cubre todo, desde cuándo bloquear páginas hasta seleccionar qué partes individuales de un sitio se pueden cargar. 

Una parte clave del proceso de filtrado web la maneja Secure Sockets Layer (SSL), una solución de seguridad que forja un enlace cifrado de forma segura entre un servidor web y un navegador web. 

Existen algunos puntos en común sorprendentes entre el filtrado DNS y el filtrado web:

• Tanto la metodología de filtrado web como las soluciones de filtrado DNS utilizan cortafuegos, aunque de diferentes maneras. El filtrado web emplea cortafuegos de próxima generación (NGFW) para evaluar el tráfico web en la capa de aplicación y bloquear sitios inapropiados o maliciosos. Por el contrario, el filtrado DNS utiliza un tipo particular de cortafuegos de DNS que funciona con otras medidas de seguridad que operan a nivel de DNS.

• En términos de protección antivirus, no hay una protección antivirus dominante en el filtrado DNS. En su lugar, las empresas tienden a optar por cualquiera de los muchos servicios de filtrado DNS personalizados y especializados, como Cloudflare Gateway, Cisco Umbrella y Control D. Del mismo modo, hay una profusión de soluciones antivirus y de seguridad endpoint diseñadas expresamente para el filtrado web, como Microsoft Defender, Norton y McAfee.

• Tanto el filtrado DNS como el filtrado web utilizan una solución de seguridad llamada Secure Web Gateway (SWG). En el filtrado DNS, SWG funciona como una capa protectora. Una característica común de SWG es el filtrado de URL, que permite a los administradores examinar y evaluar las direcciones completas. SWG ejecuta un filtrado web integral al verificar de cerca todo el tráfico de Internet e instalar bloques de página según sea necesario.

• Las redes privadas virtuales (VPN) funcionan con sistemas de filtrado web proporcionando una conexión cifrada capaz de eludir las restricciones que rigen las redes locales. El filtrado DNS suele funcionar impidiendo el acceso a sitios web específicos a nivel de DNS. Aunque las VPN suelen pasar por alto el filtrado DNS, numerosos proveedores de VPN ofrecen sus propios esquemas de filtrado de DNS, que están integrados en esos servicios.