Cloudflare ha publicado una auditoría independiente sobre su servicio público de resolución DNS 1.1.1.1 con la que intenta reforzar uno de sus mensajes más repetidos desde el lanzamiento del servicio: que no vende los datos de los usuarios, no usa esa información para publicidad y limita al máximo lo que conserva de cada consulta. El examen fue realizado por KPMG sobre el periodo comprendido entre el 1 de enero de 2024 y el 31 de diciembre de 2024, y su conclusión formal es que la afirmación de Cloudflare sobre los controles aplicados en 1.1.1.1 está “fairly stated, in all material respects”.
El matiz importante es que la auditoría no dice exactamente que Cloudflare “no recoja absolutamente ningún dato”, sino que verifica que existen controles para cumplir varios compromisos concretos. Entre ellos, que Cloudflare no venderá ni compartirá datos personales de los usuarios del resolver público con terceros ni los usará para segmentación publicitaria; que no conservará la IP de origen completa de las consultas DNS en almacenamiento no volátil; y que, en su lugar, la anonimizará mediante truncado, eliminando el último octeto en IPv4 y los últimos 80 bits en IPv6. Además, el informe recoge que esa IP truncada debe eliminarse en un plazo máximo de 25 horas.
La documentación de Cloudflare incluida en el propio informe explica cómo funciona ese proceso. Las consultas DNS entran por routers de borde desplegados en centros de datos de colocación de todo el mundo, y para el tráfico aceptado hacia el Public Resolver se indica expresamente que Syslog está desactivado. Una vez dentro del servicio, la dirección IP del usuario se trunca para anonimizarla y ese registro de consulta, ya con la IP recortada, se envía a los centros de datos principales de Cloudflare. Allí, la plataforma traduce esa IP truncada al número de sistema autónomo de la red de origen.
El informe también aclara qué sí se conserva para operaciones de red y mitigación de ataques. Los edge routers pueden capturar datos de tráfico usando Netflow y/o sFlow, pero solo sobre una muestra aleatoria máxima del 0,05 % de los paquetes. Cloudflare sostiene que esos datos muestreados no incluyen el payload y que no están asociados con la información de la consulta DNS. Esa muestra se conserva durante un máximo de 60 días y se usa para análisis de red y mitigación de ataques de denegación de servicio.
Ese punto es relevante porque pone contexto a una afirmación que a menudo se simplifica demasiado cuando se habla de 1.1.1.1. El servicio no se presenta en el informe como un sistema que opere a ciegas, sin ningún dato técnico, sino como una infraestructura donde la información sensible se minimiza, se anonimiza y se limita temporalmente, mientras que la telemetría de red para operación y seguridad se reduce a un muestreo muy pequeño y sin contenido útil de la consulta.
KPMG no audita aquí “toda la privacidad de Internet”, sino unos objetivos de control bien definidos: que la IP de origen se anonimice por truncado; que la IP truncada se elimine en 25 horas; que el muestreo Netflow/sFlow no supere el 0,05 %; que Syslog no esté habilitado para solicitudes aceptadas del Public Resolver; que los cambios de configuración estén restringidos, autorizados, probados y aprobados; y que el payload DNS se descarte de los datos muestreados antes de almacenarse en el data warehouse de Cloudflare. Sobre esos objetivos, la opinión de KPMG es favorable.
En la práctica, el movimiento de Cloudflare busca responder a una desconfianza cada vez más extendida hacia servicios gratuitos de red, VPN o DNS. En ese contexto, publicar una auditoría formal le permite defender con más solidez que 1.1.1.1 no funciona como una herramienta para perfilar usuarios, al menos bajo los controles revisados en 2024. Pero también obliga a leer bien la letra pequeña: la promesa auditada no es que no exista ninguna traza técnica, sino que la compañía no conserve la IP completa, que la información retenida esté anonimizada y acotada, y que el muestreo operativo de red no contenga el contenido de las consultas DNS.
En un momento en que la privacidad de los resolvers públicos vuelve a estar bajo escrutinio, esa diferencia importa mucho más de lo que parece.
