Seguridad de los nombres de dominio nacionales: balance de 2021

Photo of Mat Ford

Mat Ford

Technology Insights, Internet Society

Categorías:

Casi todas las comunicaciones en Internet comienzan con una búsqueda en el Sistema de Nombres de Dominio (DNS). El DNS es una pieza esencial de la infraestructura de Internet que traduce nombres aptos para humanos (internetsociety.org) en números aptos para ordenadores (2001:41c8:20::b31a).

Al igual que muchos otros componentes de Internet, el DNS comenzó sin ninguna característica de seguridad en un panorama de Internet muy diferente. Hoy en día, la seguridad y la fiabilidad son fundamentos vitales para la evolución y el crecimiento continuos de una Internet robusta que beneficie a los usuarios de todo el mundo. Las extensiones de seguridad del DNS (DNSSEC) se desarrollaron para proporcionar un nivel adicional de seguridad utilizando técnicas criptográficas para validar la autenticidad de la información del DNS.

El año pasado escribimos varias veces sobre el despliegue de DNSSEC en los dominios de primer nivel en código de país (ccTLD). En esos posts llamábamos la atención sobre el despliegue de DNSSEC en los servicios ccTLD de Fiyi, Bahrein, Chipre, Uzbekistán, Libia y Micronesia. Al revisar el año 2021 en su conjunto, hubo un total de ocho despliegues de DNSSEC en ccTLD, lo que significa que tenemos que mencionar dos más: Isla Bouvet (.bv) y Dominica (.dm).

La isla Bouvet es una dependencia noruega y tiene su propio dominio de primer nivel, .bv. Norid es el registro de .bv desde 1997.

Citando la página web del NIC.bv, "El dominio de primer nivel .bv nunca se ha abierto para el registro de nombres de dominio. Si esta política se modificara más adelante, Norid llevará a cabo una cuidadosa evaluación y un análisis de las consecuencias del asunto antes de decidir cualquier cambio. Norid no regalará ni venderá este dominio de primer nivel". A pesar de que no está disponible para registros, es agradable ver que ahora está totalmente habilitado para DNSSEC por si esa política cambiara alguna vez.

Citando la página web del NIC .dm, "En febrero de 2021, se presentó una nueva oportunidad y el Registro DotDM se asoció con Uniregistry UNR como proveedor del Servicio de Backend del Registro. El trabajo para el despliegue de DNSSEC para la firma y validación de los nombres de dominio .dm comenzó y finalizó el 1 de diciembre de 2021."

.bv y .dm se unen a otros 142 dominios ccTLD que son totalmente aptos para DNSSEC. Hay 104 dominios ccTLD que aún no han habilitado completamente DNSSEC. Esos dominios sin firmar son más vulnerables a varios tipos de ataques que podrían resultar en la denegación de servicio para los registrantes de dominios, la manipulación de datos y, quizás lo más preocupante, el robo de credenciales de autenticación.

Firmar el dominio e instalar claves de seguridad en la zona raíz del DNS es sólo un primer paso para una implantación más generalizada de DNSSEC, pero es un paso importante. Incentivar a los registrantes para que firmen sus dominios también es clave, como lo es animar a los ISP a que habiliten la validación DNSSEC en los resolvers recursivos que proporcionan a sus abonados.

Puede seguir observando el aumento constante de la adopción de DNSSEC por parte de los ccTLD y la adopción de la validación de DNSSEC a través de nuestra página Pulse Enabling Technologies.

Foto de Robert Keane en Unsplash

Etiquetas: