Validación DNSSEC en 2022: África lidera con un crecimiento asombroso
Los países africanos lideraron el crecimiento de la validación DNSSEC en 2022, con Namibia y Lesoto validando ahora el 85% y el 95% de todas las consultas DNS y Marruecos y Guinea validando más del 80%.
¿Qué es DNSSEC?
DNSSEC (Domain Name System Security Extensions) es un protocolo que añade una capa adicional de seguridad al Sistema de Nombres de Dominio (DNS) mediante la firma digital de los datos DNS. Esto impide que los piratas informáticos intercepten y modifiquen los datos cuando se transmiten, reduciendo el riesgo de ataques como el envenenamiento de la caché DNS.
DNSSEC tiene dos caras: la firma y la validación. Por un lado, los operadores de DNS firman los nombres de dominio criptográficamente. Por otro lado, cuando usted hace cualquier cosa en línea que utilice nombres de dominio, el resolver DNS que utiliza, a menudo en su proveedor de servicios de Internet (ISP), realiza la validación DNSSEC para comprobar si las firmas DNSSEC son correctas.
Para que DNSSEC proporcione su capa extra de seguridad a nivel global, necesitamos ambas cosas: que los nombres de dominio estén firmados y que los resolutores DNS locales comprueben esas firmas DNSSEC.
Para este post, sólo voy a centrarme en el lado de la validación. Si echa un vistazo a nuestra página Pulse sobre tecnologías de capacitación, podrá ver hacia la parte inferior de la página un gráfico (Figura 1) que muestra tanto las métricas de firma como las de validación en el mismo gráfico.
Quiero profundizar en la línea verde de la parte inferior que representa la validación y que muestra alrededor del 30% de todas las consultas que se están validando actualmente. Para ello, me sumergiré en los datos de validación de DNSSEC proporcionados por APNIC Labs, uno de nuestros socios de Pulse data.
Si observamos su gráfico para la validación global de DNSSEC (Figura 2), podemos ver que los niveles actuales de validación rondan el 30%.
Si se desplaza por la página podrá ver la validación en regiones de todo el mundo (haga clic en el encabezado de una columna para ordenar por esa columna). Haciendo clic en esas regiones puede sumergirse para ver cuánta validación se está produciendo en un país concreto y en redes específicas.
| Region | DNSSEC Validates | Samples | Weight | Weighted Samples |
| World | 32.29% | 10,777,148 | 1 | 10,777,148 |
| Oceania | 42.74% | 92,697 | 0.86 | 79,836 |
| Europe | 40.85% | 2,128,018 | 0.73 | 1,562,147 |
| Americas | 32.83% | 2,472,544 | 0.78 | 1,925,800 |
| Africa | 30.86 | 605,439 | 1.82 | 1,104,722 |
| Asia | 30.05% | 5,478,444 | 0.06 | 6,104,402 |
| Unclassified | 0.15% | 4,028 | 0.06 | 233 |
¿Qué hay detrás del asombroso crecimiento de África?
De todas las regiones, el mayor crecimiento en la validación de DNSSEC se observa en África, pasando de un mínimo del 17% a principios de 2022 a un 31% a principios de 2023 (Figura 3).
APNIC Labs proporciona un mapa que muestra muy bien con el verde brillante dónde se está produciendo el mayor porcentaje de validación.
Si se observan algunos gráficos concretos, se puede ver en Guinea un enorme salto de alrededor del 5 al 7% de validación a principios de 2022 a más del 70% a principios de 2023.
Si se observan los operadores individuales, se puede ver que varios de ellos han tenido activada la validación DNSSEC desde al menos 2021, pero el gran cambio se produjo cuando Orange (ASAS37461) empezó a validar en septiembre de 2022 (Figura 6).
Marruecos ofrece otro interesante estudio de caso de lo que ocurre cuando los grandes ISP habilitan la validación DNSSEC. Como puede ver en el gráfico general de Marruecos (figura 7), hubo un gran salto a principios de 2021, de alrededor del 5% de validación hasta cerca del 60%. Y luego, a mediados de 2022, hubo otro gran salto hasta alrededor del 80% de validación.
Profundizando en las redes concretas, se puede ver que Maroc Telecom (ASAS36903) empezó a hacer la validación a principios de 2021, lo que corresponde al primer gran escalón del gráfico (figura 8).
El segundo paso puede verse cuando ASMedi (AS36925) habilitó la validación DNSSEC a mediados de 2022 (Figura 9).
Nótese el aspecto interesante Los datos de APNIC Labs muestran que ASMedi ya había estado validando DNSSEC en 2014-2016, y luego, por la razón que sea, ¡dejó de validarlo durante seis años hasta que volvió a activarlo en 2022!
Lesotho también experimentó un patrón de crecimiento escalonado similar para terminar el año con una validación superior al 95%, con Telecom-Lesotho validando más del 90% desde 2021, y Vodacom-Lesotho uniéndose a finales de 2022.
Muchos otros países africanos también registraron un excelente crecimiento, como Camerún, Namibia, Nigeria, Chad y Madagascar.
En mi próximo post, destacaré los cambios mixtos que hemos visto en la validación de DNSSEC durante el último año en Norteamérica y Sudamérica.
Foto de Abdur Ahmanus en Unsplash