- El desarrollo económico de un país no está necesariamente correlacionado con la madurez técnica de la infraestructura DNS que soporta su Dominio de Alto Nivel de código de país (ccTLD).
- La mayoría de los ccTLD tienen redundancia, pero no en todas las métricas críticas, sobre todo en los TLD múltiples y Anycast para IPv6.
- La plena cooperación de los operadores de zonas ccTLD es crucial para un análisis completo y preciso de la resistencia del DNS.
Los sitios web gubernamentales y las empresas en línea suelen utilizar dominios de nivel superior de código de país (ccTLD) para llegar a sus ciudadanos y dirigirse a los clientes locales.
Al igual que otros TLD, la seguridad de los ccTLD depende de una infraestructura de sistema de nombres de dominio (DNS) resistente. Un ecosistema DNS robusto es esencial para protegerse de ciberataques como los ataques de Denegación de Servicio Distribuido (DDoS) y para garantizar el acceso continuo a los servicios en línea durante las crisis. También fomenta la confianza mundial al mostrar madurez digital.
Medir la robustez del DNS
Como parte de mi Beca de Investigación Pulse 2024, trabajé con la Internet Society para evaluar la solidez del ecosistema DNS en lo que respecta a los ccTLD, midiendo varias métricas técnicas (Tabla 1) y utilizando las mejores prácticas recomendadas propuestas por Sommese et al.
| Métrica | Mide | Importancia |
|---|---|---|
| nNSes | Número de servidores de nombres | Redundancia |
| nTLDs | TLD único utilizado para las direcciones del servidor de nombres | Diversidad |
| nIPv4 | Direcciones IPv4 únicas para el dominio | Redundancia en IPv4 |
| nIPv6 | Direcciones IPv6 únicas para el dominio | Redundancia en IPv6 |
| nASv4 | AS único que anuncia las direcciones IPv4 | Diversidad topológica en IPv4 |
| nASv6 | AS único que anuncia las direcciones IPv6 | Diversidad topológica en IPv6 |
| nAnycast4 | Servidor de nombres IPv4 Anycast único | Redundancia y protección DDOS en IPv4 |
| nAnycast6 | Servidor único de nombres IPv6 Anycast | Redundancia y protección DDOS en IPv6 |
| nGeoDiversidades | Servidores de nombres distribuidos geográficamente | Diversidad geográfica |
La mayoría de los ccTLD tienen redundancia, pueden mejorar el uso de Anycast y la distribución geográfica
Nuestro estudio reveló que la mayoría de los ccTLD utilizan dos o más servidores de nombres únicos (nNSes), y que casi el 80% de los ccTLD despliegan cuatro o más direcciones de servidores de nombres. Sin embargo, sólo alrededor del 50% de estos ccTLD utilizan direcciones de servidores de nombres en varios TLD (nTLD), lo que indica un área potencial para aumentar la resistencia. La redundancia tanto en las direcciones de los servidores de nombres como en los TLD que utilizan es fundamental: actúan como direcciones de reserva para la resolución de nombres si las primarias son inalcanzables.
Aunque la mayoría de los ccTLD aprovechan al menos dos direcciones IPv4 (nIPv4), algunos todavía necesitan adoptar dos o más direcciones IPv6 (nIPv6).
En cuanto a la infraestructura, más de la mitad de los ccTLD utilizan redes de cuatro o más Sistemas Autónomos (AS) tanto para IPv4 (nASv4) como para IPv6 (nASv6), y más del 70% emplean al menos una infraestructura Anycast para direcciones IPv4 (nAnycast4). Sin embargo, sólo el 50% de los ccTLD utilizan Anycast para IPv6 (nAnycast6), lo que sugiere un margen de mejora.
Anycast es un método de enrutamiento de red en el que varios servidores comparten la misma dirección IP, dirigiendo las peticiones de los usuarios al servidor más cercano u óptimo para una entrega de datos más rápida y eficaz. Además de proporcionar redundancia, ayuda a reducir la latencia dirigiendo las consultas al servidor más cercano, garantiza la continuidad redirigiendo el tráfico durante los fallos y defiende contra los ataques DDoS distribuyendo el tráfico entre varios servidores.
Además, menos del 20% de los ccTLD dependen de la infraestructura de un solo país (nGeoDiverseNSes), y la mayoría extienden sus redes a uno o más países.
Qué ccTLDs dependen de la infraestructura DNS más y menos madura
A pesar del avanzado desarrollo económico de Europa y Norteamérica, sólo unos pocos ccTLD de estas regiones figuran entre las 20 infraestructuras DNS más maduras (Figura 2). Islandia (IS), Portugal (PT), Chipre (CY) y Finlandia (FI) son los únicos representantes de Europa, mientras que Panamá (PA) y Guatemala (GT) son las únicas entradas de Norteamérica.
En cambio, los ccTLD africanos y asiáticos muestran una presencia más sólida, con Malawi (MW), Tanzania (TZ) y Costa de Marfil (CI) a la cabeza a nivel mundial, y Tailandia (TH), Taiwán (TW) y Palestina (PS) destacando en Asia. Esto pone de manifiesto una sorprendente brecha en la que algunas de las regiones más desarrolladas tienen menos ccTLD en los primeros puestos de madurez del DNS.
Entre los ccTLD con las infraestructuras DNS menos maduras (Figura 3) están el Sáhara Occidental (EH), los Países Bajos del Caribe (BQ) y la Polinesia Francesa (PF). Los ccTLD de los dos primeros países siguen sin asignarse debido a sus singulares estatus políticos: el Sáhara Occidental como territorio en disputa y los Países Bajos del Caribe como parte de los Países Bajos tras la disolución de las Antillas Neerlandesas.
En Asia, los ccTLD de Corea del Norte (KP), la República de Maldivas (MV) y Kirguistán (KG) figuran entre los menos maduros. En el caso de Corea del Norte, sus estrictas limitaciones de acceso a Internet para sus ciudadanos podrían contribuir al subdesarrollo de su infraestructura de DNS. En particular, casi todos los 20 ccTLD menos maduros carecen de características críticas de resiliencia del DNS, como infraestructura Anycast, múltiples direcciones IPv6 o redes que abarcan varios países, lo que pone de relieve los problemas de resiliencia.
Estos ccTLD menos maduros son más vulnerables a los ciberataques, especialmente a los ataques DDoS. Por ejemplo, a pesar de tener varios servidores de nombres con varias direcciones IP, todas las infraestructuras DNS que soportan .et (Etiopía) pertenecen al mismo Sistema Autónomo y están ubicadas en el mismo país. Si el Sistema Autónomo o la conexión a Internet del país se caen, más de cinco mil sitios web bajo el ccTLD .et no serían accesibles.
Recomendaciones para mejorar la resistencia de los ccTLD
El desarrollo económico de un país no está necesariamente correlacionado con la madurez técnica de la infraestructura DNS que soporta su ccTLD. Por ejemplo, según el Banco Mundial, Brasil tenía el 9º PIB mundial estimado más alto en 2023. Sin embargo, la madurez de la infraestructura DNS del ccTLD .br es relativamente baja. Todas las direcciones de los servidores de nombres están bajo un único TLD sin red Anycast, y todas las infraestructuras residen en un único país. Es posible que influyan otros factores, como consideraciones políticas, normativas y estratégicas, y para entenderlo son necesarias más investigaciones interdisciplinares.
A pesar de la inversión relativamente baja que requiere, la diversificación de los TLD para los servidores de nombres aún no se ha adoptado de forma generalizada (véase la Figura 2, nTLDs). Los operadores de registro podrían considerarlo una medida inmediata y práctica para mejorar la resistencia del DNS. Por ejemplo, el ccTLD .mw utiliza siete direcciones de servidor de nombres únicas de cuatro TLD únicos: .mw, .cz, .net y .com. Por tanto, si la infraestructura de DNS de uno de los TLD se cae, los sitios web bajo el ccTLD .mw seguirían siendo accesibles utilizando servidores de nombres de los otros tres TLD.
Además, la adopción de servidores de nombres Anycast, sobre todo para IPv6, sigue infrautilizada, a pesar de que tiene el potencial de aumentar significativamente la resiliencia.
Otra estrategia fundamental para mejorar la infraestructura del DNS es diversificar la topología de la red utilizando redes de varias regiones, lo que puede ayudar a evitar puntos únicos de fallo y reforzar aún más el sistema global.
Tenemos previsto ampliar nuestro análisis para incluir dominios de nivel inferior y explorar más a fondo la resistencia del DNS específica de cada país. Para lograr una comprensión exhaustiva, es esencial investigar todos los nombres de host registrados en cada ccTLD. Sin embargo, este esfuerzo puede verse limitado por la disponibilidad de datos. La plena cooperación de los operadores de zona es crucial, ya que el acceso al archivo de zona del ccTLD correspondiente es necesario para un análisis completo y preciso.
Yasir Haq es estudiante de doctorado en la Universidad de Twente y becario de investigación de 2024 Pulse.
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.