Los dominios .es adoptan el protocolo de seguridad DNSSEC

07/08/2014
Publicat a: El Mundo

8 de julio de 2014. Culmina en en el Departamento de Registro de Dominios ".es" (http://www.dominios.es/dominios) un trabajo que ha llevado meses para poner a punto máquinas, personas y relaciones de confianza. La razón: ofrecer un nuevo servicio, DNSSEC (http://es.wikipedia.org/wiki/DNSSEC), que añade cifrado al funcionamiento de los dominios (http://es.wikipedia.org/wiki/Domain_Name_System). Se quieren atajar así los delitos basados en engañar a nuestro navegador o correo para que vayan a un sitio diferente del que les hemos dicho, cara a robarnos credenciales, darnos información falsa y otros. Hablamos con José Eleuterio López, uno de los artífices del histórico cambio.

-¿Qué es DNSSEC?

-Un conjunto de extensiones de seguridad para el Sistema de Nombres de Dominio (DNS). Se basa en la criptografía asimétrica y reduce el riesgo de manipulación de los datos del sistema DNS.

-¿De qué delitos nos protege?

-Ofrece la garantía de que, al teclear una URL en nuestro navegador, éste realmente nos conduce a la web de nuestro banco o tienda online, sin que un tercero interfiera en el proceso redirigiéndonos a un sitio no deseado.

-¿Una persona que tenga un dominio .es y quiera DNSSEC qué debe hacer, con quién debe hablar?

-En el registro de dominios tenemos todo preparado para que se habilite DNSSEC y se ofrezca el servicio a través de los agentes registradores, que a su vez colaboran con los proveedores de "hosting". El cliente final debe contactar con su proveedor y solicitarle información y asesoramiento sobre el servicio.

-¿DNSSEC encarecerá el precio de los dominios?

-Red.es (entidad pública de la que depende Dominios.es) no aplica ningún cargo por la implantación de DNSSEC en un determinado dominio, pese a que este proceso ha requerido de una inversión en la adecuación de la infraestructura. Sin embargo, Red.es no interfiere en la estrategia comercial de los distribuidores, que pueden optar por tarificar el servicio u ofrecerlo gratuitamente.

-Adoptar DNSSEC es opcional. ¿No sería mejor hacerlo obligatorio?

-Se trata de que el cliente decida, en función de su actividad, si le conviene tener la seguridad extra que proporciona DNSSEC. No todos los clientes o todas las webs tienen la misma demanda de seguridad. Una web de un banco o de una tienda online requieren unas mayores garantías que, por ejemplo, un blog personal. En ningún indicativo de Internet DNSSEC se implanta como un servicio obligatorio. Se trata de ir adoptándolo de forma gradual y de estar preparados para la posible demanda.

-¿A quien compete técnicamente el despliegue de DNSSEC?

-A todos los eslabones de la jerarquía: desde la gestión del registro ".es" (nosotros) a los propios titulares de los dominios ".es". DNSSEC se basa en una cadena de confianza que afecta a todos los actores implicados en un dominio.

-¿Quien tenga un dominio .es deberá instalar algún programa si quiere usar DNSSEC?

-El proceso requiere ciertos ajustes técnicos en la infraestructura DNS de los proveedores de "hosting", no en los equipos del titular del registro. Éste sólo debe ponerse en contacto con su proveedor para implantar DNSSEC.

-¿Cómo sabremos si los sitios que visitamos usan DNSSEC?

-Existen extensiones para los navegadores que identifican si un sitio web tiene implementado DNSSEC. Recomendamos "DNSSEC/TLSA Validator" (https://www.dnssec-validator.cz) o "DNSSEC Drill" (http://www.nlnetlabs.nl/projects/drill/drill_extension.html). El usuario simplemente tiene que instalarlas como cualquier otro plugin y a partir de entonces le aparece un símbolo junto a la dirección, en el navegador. -¿Cuánto tiempo está previsto que dure el despliegue de DNSSEC en los dominios .es?

-Nuestros profesionales llevan trabajado desde hace meses, con fases piloto, sesiones de intercambio de ideas con expertos... Asimismo, hemos contado con colaboradores del ámbito bancario, universitario y de la administración, entre otros sectores, que nos han ayudado a madurar el proceso de implementación. El 8 de julio concluimos el proceso de implementación comunicando al IANA (Internet Assigned Numbers Authority) (http://es.wikipedia.org/wiki/Iana), la entidad que supervisa los dominios en Internet, la información necesaria para cerrar la cadena de confianza.

-Otros dominios usan DNSSEC desde hace tiempo. ¿Por qué se ha tardado tanto en ponerlo en marcha?

-Desde el inicio de DNSSEC, Red.es ha estado al tanto de los avances. Hemos seguido de cerca las implicaciones y el panorama internacional, así como las dificultades que atravesaron distintas extensiones en la implantación de este servicio. También hemos realizado fases piloto y pruebas con todos los perfiles de "partners" implicados en su despliegue. Del mismo modo, hemos analizado la demanda de nuestros clientes a través de encuestas específicas. La puesta en marcha ha tenido lugar cuando hemos determinado que la tecnología estaba lo suficientemente madura como para introducirla en nuestro sistema de gestión, con las suficientes garantías.

-Suponemos que será una medida bienvenida...

-Todas las iniciativas que suponen un avance en la seguridad son bienvenidas. Especialmente en casos como éste, que suponen una mejora sustancial para colectivos estratégicos como la banca, comercio electrónico o la administración pública. Para Red.es, asimismo, supone un avance en la imagen del ".es" como dominio seguro, cercano y próximo.

CÓMO SE COMETEN DELITOS CON LOS DOMINIOS

El Sistema de Nombres de Dominio funciona a partir de la confianza entre máquinas:

1. Queremos visitar un sitio que está en la dirección www.banco.org. Nuestro ordenador pregunta al servidor de nombres de dominio (DNS) de nuestro proveedor qué dirección IP (http://es.wikipedia.org/wiki/Direccion_IP) tiene la máquina que corresponde a este dominio. El DNS le da la dirección 231.111.44.55.

2. Un servidor de nombres de dominio aloja simplemente una larga lista de dominios, junto con las direcciones IP que les corresponen. En realidad, las máquinas de Internet no necesitan los dominios: funcionan con localizaciones numéricas, las direcciones IP. Pero al ser difícil recordar tal ristra de números, se decidió usar nombres a la medida humana y que unas máquinas, los DNS, hiciesen la conversión automáticamente.

3. El problema llega cuando alguien asalta una de estas máquinas y asigna a un dominio una dirección IP diferente, en lo que tiene el nombre técnico de "envenenamiento de caché DNS" (http://es.wikipedia.org/wiki/DNS_cache_poisoning). Así, cuando nuestro navegador busque "www.banco.org" será dirigido, sin nosotros saberlo, a una máquina diferente. En ella podemos encontrar una réplica de la web del banco, donde todas las contraseñas y números de cuenta que introduzcamos irán al zurrón de los criminales.

4. Gracias a DNSSEC, la información que manda el DNS a nuestro ordenador es validada mediante una clave criptográfica y no puede ser manipulada. Además, si alguien intenta modificar la tabla de direcciones de un servidor DNS protegido con DNSSEC, se le deniega la petición. En el sitio del proveedor OVH se explica muy bien y con dibujos (http://www.ovh.es/dominios/service_dnssec.xml)



Mercè Molist