Photo of the back of a man wearing a white shirt that says Security on it

Despliegue de DNSSEC y RPKI: Una nueva narrativa

Picture of David Huberman
Guest Author | ICANN
Categorias:
Twitter logo
LinkedIn logo
Facebook logo
March 20, 2024

Cuando pensamos en la ciberseguridad de las organizaciones, nos interesa proteger nuestros sistemas, personas y activos de intrusiones y delitos.

Dedicamos mucho tiempo y dinero a reforzar nuestra infraestructura aplicando las mejores prácticas actuales en materia de ciberhigiene (como requisitos sobre longitud y rotación de contraseñas y formación de nuestros empleados para garantizar que no caigan en las redes de los ciberdelincuentes), parcheando nuestros sistemas operativos y nuestro software de aplicaciones y estableciendo todo tipo de supervisión y detección para salvaguardar nuestros sistemas.

Pero en una capa más profunda que nuestros sistemas, nuestras aplicaciones y nuestros empleados hay un conjunto de elementos de red que también deben protegerse:

  • Las direcciones IP que asignamos a nuestros buzones.
  • Los Números de Sistema Autónomo (ASN) que utilizamos para definir nuestras redes.
  • Los nombres de dominio que asignamos a los dispositivos.
  • Sistema de encaminamiento entre dominios que permite compartir paquetes de datos con redes de todo el mundo.

Todos estos elementos utilizan estándares de protocolo, que son muy antiguos y no se han diseñado pensando en la seguridad. Por ejemplo, el Sistema de Nombres de Dominio (DNS) fue inventado por Paul Mockapetris y estandarizado en noviembre de 1983. El sistema de encaminamiento que utilizamos se llama Border Gateway Protocol (BGP), y la versión actual de BGP que todo el mundo utiliza es de marzo de 1995.

Estas normas de protocolo, que tienen entre 30 y 40 años, se utilizan hoy en casi todas las redes de Internet y prácticamente no han cambiado desde sus especificaciones originales. Se mantienen porque resuelven el problema más difícil de la informática: la escala. DNS y BGP permiten una escalabilidad infinita con un coste insignificante para los operadores individuales. Y como todo el mundo aprovechó DNS y BGP, Internet pasó de ser un experimento militar y académico a una plataforma omnipresente en todo el mundo.

Por qué es necesario proteger DNS y BGP

Cuando estos dos sistemas esenciales no están protegidos, existen “puertas traseras” en nuestras redes para piratas informáticos y delincuentes. Su seguridad debe considerarse parte de una estrategia de ciberseguridad bien formada. Idealmente, esta estrategia incluye exigir servicios y dispositivos seguros desde el diseño durante las actividades de adquisición de tecnologías de la información y la comunicación (TIC).

La Coalición sobre Estándares, Seguridad y Protección en Internet – IS3C – se formó como Coalición Dinámica del Foro de Gobernanza de Internet de las Naciones Unidas para ayudar a las organizaciones a conseguirlo. La coalición está formada por las principales partes interesadas de la comunidad técnica, la sociedad civil, los responsables políticos, los reguladores y las empresas y particulares. Su objetivo es hacer que la actividad y la interacción en línea sean más seguras y protegidas mediante el despliegue con éxito de las normas de Internet existentes relacionadas con la seguridad y las mejores prácticas de las TIC.

Como parte de su labor, el IS3C formó un grupo de trabajo sobre la importancia de persuadir a los responsables de las organizaciones para que adopten dos normas de Internet, que contribuyen a reforzar su perfil de ciberseguridad:

  • Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que permiten detectar cambios no autorizados en los datos del DNS y desarrollar herramientas para proteger mejor el DNS.
  • Resource Public Key Infrastructure (RPKI), que proporciona la infraestructura necesaria para construir las herramientas necesarias para asegurar mejor el enrutamiento.
Gráfico lineal que muestra el porcentaje de todos los ccTLD que han adoptado DNSSEC y la validación global de DNSSEC
Figura 1 – Porcentaje de registros ccTLD con DNSSEC operativo y tasa de validación global de DNSSEC. Fuentes de datos: ICANN y APNIC.

Ayude a llamar la atención de los responsables de la toma de decisiones sobre DNSSEC y RPKI

Con la gorra de ICANN puesta, copresido este grupo de trabajo con mi amigo y colega Bastiaan Goslings. Nuestro esfuerzo actual consiste en forjar una nueva narrativa para convencer a los responsables de las organizaciones de que adopten RPKI y DNSSEC en sus infraestructuras. Lo hacemos enmarcando su importancia en términos corporativos, como el cumplimiento de un deber de diligencia, la reducción de los riesgos financieros, la mejora del cumplimiento de la normativa y otros factores que los ocupantes de las C-suite tratan con regularidad.

Pero necesitamos tu ayuda.

Nuestra propuesta de texto se someterá a consulta pública hasta el 5 de abril. Por favor, lea nuestro nuevo mensaje y aporte sus comentarios críticos y sugerencias útiles para mejorarlo.

Trabajar juntos puede hacer que Internet sea más seguro y nuestras redes más seguras. Puede compartir sus ideas y puntos de vista con IS3C en el proyecto de texto. El documento se adaptará en la siguiente fase en función de sus aportaciones. La publicación está prevista para mayo de 2024.

Obtenga más información sobre las actividades, informes y herramientas del IS3C, o hágase miembro a través de nuestro sitio web.

David Huberman trabaja en la Oficina del CTO de ICANN y es copresidente del grupo de trabajo 8 del IS3C.