Evaluación del entorno técnico de los ccTLD

Los sitios web gubernamentales y las empresas en línea suelen utilizar los dominios de primer nivel en código de país (ccTLD) para llegar a sus ciudadanos y dirigirse a los clientes locales. 

Al igual que otros TLD, la seguridad de los ccTLD depende de una infraestructura de sistema de nombres de dominio (DNS) resistente. Un ecosistema DNS robusto es esencial para protegerse frente a ciberataques como los ataques distribuidos de denegación de servicio (DDoS) y para garantizar el acceso continuo a los servicios en línea durante las crisis. También fomenta la confianza global al mostrar madurez digital.

Como parte de mi beca de investigación Pulse 2024, trabajé con la Internet Society para evaluar la solidez del ecosistema DNS en lo que respecta a los ccTLD, midiendo varias métricas técnicas (Tabla 1) y utilizando las mejores prácticas recomendadas propuestas por Sommese et al.

Nuestro estudio descubrió que la mayoría de los ccTLD utilizan dos o más servidores de nombres únicos (nNSes), y casi el 80% de los ccTLD despliegan cuatro o más direcciones de servidores de nombres. Sin embargo, sólo alrededor del 50% de estos ccTLD utilizan direcciones de servidores de nombres en varios TLD (nTLD), lo que indica un área potencial para aumentar la resistencia. La redundancia tanto en las direcciones de los servidores de nombres como en los TLD que utilizan es fundamental: actúan como direcciones de reserva para la resolución de nombres si las principales resultan inaccesibles.

Aunque la mayoría de los ccTLD aprovechan al menos dos direcciones IPv4 (nIPv4), algunos aún necesitan adoptar dos o más direcciones IPv6 (nIPv6).  

En cuanto a la infraestructura, más de la mitad de los ccTLD utilizan redes de cuatro o más Sistemas Autónomos (AS) tanto para IPv4 (nASv4) como para IPv6 (nASv6), y más del 70% emplean al menos una infraestructura Anycast para direcciones IPv4 (nAnycast4). Sin embargo, sólo el 50% de los ccTLD utilizan Anycast para IPv6 (nAnycast6), lo que sugiere un margen de mejora.  

Anycast es un método de enrutamiento de red en el que varios servidores comparten la misma dirección IP, dirigiendo las peticiones de los usuarios al servidor más cercano u óptimo para una entrega de datos más rápida y eficaz. Además de proporcionar redundancia, ayuda a reducir la latencia dirigiendo las consultas al servidor más cercano, garantiza la continuidad redirigiendo el tráfico durante los fallos y defiende contra los ataques DDoS distribuyendo el tráfico entre varios servidores. 

Además, menos del 20% de los ccTLD dependen de la infraestructura de un solo país (nGeoDiverseNSes), y la mayoría extienden sus redes a uno o más países. 

A pesar del avanzado desarrollo económico de Europa y Norteamérica, sólo unos pocos ccTLD de estas regiones se encuentran entre las 20 infraestructuras de DNS más maduras (Figura 2). Islandia (IS), Portugal (PT), Chipre (CY) y Finlandia (FI) son los únicos representantes de Europa, mientras que Panamá (PA) y Guatemala (GT) son las únicas entradas de Norteamérica.  

Por el contrario, los ccTLD africanos y asiáticos muestran una presencia más sólida, con Malawi (MW), Tanzania (TZ) y Costa de Marfil (CI) a la cabeza a nivel mundial, y Tailandia (TH), Taiwán (TW) y Palestina (PS) destacando en Asia. Esto pone de manifiesto una sorprendente brecha en la que algunas de las regiones más desarrolladas tienen menos ccTLD en los primeros puestos de madurez del DNS.

Entre los ccTLD con las infraestructuras DNS menos maduras (Figura 3) se encuentran el Sáhara Occidental (EH), los Países Bajos del Caribe (BQ) y la Polinesia Francesa (PF). Los ccTLD de los dos primeros países siguen sin asignarse debido a sus singulares estatus políticos: el Sáhara Occidental como territorio en disputa y los Países Bajos caribeños como parte de los Países Bajos tras la disolución de las Antillas Holandesas.

En Asia, los ccTLD de Corea del Norte (KP), la República de Maldivas (MV) y Kirguistán (KG) figuran entre los menos maduros. En el caso de Corea del Norte, sus estrictas limitaciones de acceso a Internet para sus ciudadanos podrían contribuir al subdesarrollo de su infraestructura de DNS. Cabe destacar que casi todos los 20 ccTLD menos maduros carecen de características críticas de resiliencia del DNS, como infraestructura Anycast, múltiples direcciones IPv6 o redes que abarcan varios países, lo que pone de manifiesto los problemas de resiliencia. 

Estos ccTLD menos maduros son más vulnerables a los ciberataques, especialmente a los ataques DDoS. Por ejemplo, a pesar de tener varios servidores de nombres con varias direcciones IP, todas las infraestructuras DNS que soportan .et (Etiopía) pertenecen al mismo Sistema Autónomo y están situadas en el mismo país. Si el Sistema Autónomo o la conexión a Internet del país se caen, más de cinco mil sitios web bajo el ccTLD .et no serían accesibles. 

El desarrollo económico de un país no está necesariamente correlacionado con la madurez técnica de la infraestructura DNS que soporta su ccTLD. Por ejemplo, según el Banco Mundial, Brasil tenía el 9º PIB mundial estimado más alto en 2023. Sin embargo, la madurez de la infraestructura DNS del ccTLD .br es relativamente baja. Todas las direcciones de los servidores de nombres están bajo un único TLD sin red Anycast, y todas las infraestructuras residen en un único país. Otros factores diversos, como consideraciones políticas, normativas y estratégicas, podrían desempeñar un papel, y para entenderlo son necesarias más investigaciones interdisciplinarias.  

A pesar de la inversión relativamente baja que requiere, la diversificación de los TLD para los servidores de nombres aún no se ha adoptado de forma generalizada (véase la Figura 2, nTLDs). Los operadores de registro podrían considerar esta medida inmediata y práctica para mejorar la resistencia del DNS. Por ejemplo, el ccTLD .mw utiliza siete direcciones de servidor de nombres únicas de cuatro TLD únicos: .mw, .cz, .net y .com. Por lo tanto, si la infraestructura DNS de uno de los TLD se cae, los sitios web bajo el ccTLD .mw seguirían siendo accesibles utilizando servidores de nombres de los otros tres TLD. 

Además, la adopción de servidores de nombres Anycast, en particular para IPv6, sigue estando infrautilizada, a pesar de que tiene el potencial de aumentar la resistencia de forma significativa.  

Otra estrategia fundamental para mejorar la infraestructura del DNS es diversificar la topología de la red utilizando redes de varias regiones, lo que puede ayudar a evitar puntos únicos de fallo y reforzar aún más el sistema global. 

Tenemos previsto ampliar nuestro análisis para incluir dominios de nivel inferior y explorar más a fondo la resistencia del DNS específica de cada país. Para lograr una comprensión exhaustiva, es esencial investigar todos los nombres de host registrados bajo cada ccTLD. Sin embargo, este esfuerzo puede verse limitado por la disponibilidad de datos. La plena cooperación de los operadores de zona es crucial, ya que el acceso al archivo de zona del ccTLD correspondiente es necesario para un análisis completo y preciso. 

Yasir Haq es estudiante de doctorado en la Universidad de Twente y becario de investigación de 2024 Pulse. 

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.