Los países africanos lideraron el crecimiento de la validación DNSSEC en 2022, con Namibia y Lesoto validando ahora el 85% y el 95% de todas las consultas DNS y Marruecos y Guinea validando más del 80%.
¿Qué es DNSSEC?
DNSSEC (Domain Name System Security Extensions) es un protocolo que añade una capa adicional de seguridad al Sistema de Nombres de Dominio (DNS) mediante la firma digital de los datos DNS. Esto impide que los piratas informáticos intercepten y modifiquen los datos cuando se transmiten, reduciendo el riesgo de ataques como el envenenamiento de la caché DNS.
DNSSEC tiene dos vertientes: la firma y la validación. Por un lado, los operadores de DNS firman los nombres de dominio criptográficamente. Por otro lado, cuando haces algo en línea que utiliza nombres de dominio, el resolver DNS que utilizas, a menudo en tu proveedor de servicios de Internet (ISP), realiza la validación DNSSEC para comprobar si las firmas DNSSEC son correctas.
Para que DNSSEC proporcione su capa adicional de seguridad a nivel global, necesitamos ambas cosas: que los nombres de dominio estén firmados y que los resolvedores de DNS locales comprueben esas firmas DNSSEC.
En este artículo me centraré únicamente en la validación. Si consulta nuestra página Pulse sobre tecnologías de capacitación, podrá ver hacia el final de la página un gráfico (Figura 1) que muestra las métricas de firma y validación en el mismo gráfico.
Quiero profundizar en la línea verde de la parte inferior que representa la validación y muestra alrededor del 30% de todas las consultas que se están validando actualmente. Para ello, me sumergiré en los datos de validación de DNSSEC proporcionados por APNIC Labs, uno de nuestros socios de Pulse data.
Si observamos su gráfico de validación global de DNSSEC (Figura 2), podemos ver que los niveles actuales de validación rondan el 30%.
Si se desplaza por la página, podrá ver la validación en regiones de todo el mundo (haga clic en el título de una columna para ordenarla por esa columna). Haciendo clic en esas regiones, puedes profundizar para ver cuánta validación se está produciendo en un país concreto y en redes específicas.
| Región | DNSSEC valida | Muestras | Peso | Muestras ponderadas |
| Mundo | 32.29% | 10,777,148 | 1 | 10,777,148 |
| Oceanía | 42.74% | 92,697 | 0.86 | 79,836 |
| Europa | 40.85% | 2,128,018 | 0.73 | 1,562,147 |
| América | 32.83% | 2,472,544 | 0.78 | 1,925,800 |
| África | 30.86 | 605,439 | 1.82 | 1,104,722 |
| Asia | 30.05% | 5,478,444 | 0.06 | 6,104,402 |
| Sin clasificar | 0.15% | 4,028 | 0.06 | 233 |
¿Qué hay detrás del asombroso crecimiento de África?
De todas las regiones, el mayor crecimiento en la validación de DNSSEC se observa en África, que pasa de un mínimo del 17% a principios de 2022 a un 31% a principios de 2023 (Figura 3).
APNIC Labs proporciona un mapa que muestra muy bien con el verde brillante dónde se está produciendo el mayor porcentaje de validación.
Si se observan algunos gráficos concretos, se puede ver en Guinea un enorme salto de alrededor del 5 al 7% de validación a principios de 2022 a más del 70% a principios de 2023.
Si se observan los operadores individuales, se puede ver que varios de ellos han tenido habilitada la validación DNSSEC desde al menos 2021, pero el gran cambio se produjo cuando Orange (ASAS37461) empezó a validar en septiembre de 2022 (Figura 6).
Marruecos ofrece otro interesante caso de estudio de lo que ocurre cuando los grandes ISP activan la validación DNSSEC. Como puede verse en el gráfico general de Marruecos (Figura 7), a principios de 2021 se produjo un enorme salto, de alrededor del 5% de validación a cerca del 60%. Y luego, a mediados de 2022, hubo otro gran paso hacia arriba, hasta alrededor del 80% de validación.
Profundizando en las redes concretas, se puede ver que Maroc Telecom (ASAS36903) empezó a hacer la validación a principios de 2021, lo que corresponde al primer gran escalón del gráfico (Figura 8).
El segundo paso puede verse cuando ASMedi (AS36925) habilitó la validación DNSSEC a mediados de 2022 (Figura 9).
Nótese el aspecto interesante que muestran los datos de APNIC Labs: ASMedi había estado validando DNSSEC en 2014-2016, y luego, por alguna razón, dejó de validarlo durante seis años, ¡hasta que lo volvió a activar en 2022!
Lesoto también experimentó un patrón de crecimiento escalonado similar para terminar el año con más del 95% de validaciones, con Telecom-Lesoto validando más del 90% desde 2021, y Vodacom-Lesoto uniéndose a finales de 2022.
Muchos otros países africanos también registraron un excelente crecimiento, como Camerún, Namibia, Nigeria, Chad y Madagascar.
En mi próximo post, destacaré los cambios mixtos que hemos visto en la validación de DNSSEC durante el último año en Norteamérica y Sudamérica.
Foto de Abdur Ahmanus en Unsplash