Llegamos a ustedes gracias a:



Noticias

La ICANN establece plan para reforzar la seguridad del DNS de Internet

[20/09/2018] Dentro de unos meses, Internet será un lugar más seguro.

Esto se debe a que la Corporación de Asignación de Nombres y Números de Internet (ICANN, por sus siglas en inglés) ha votado a favor de seguir adelante con el primer cambio en la historia de la clave criptográfica que ayuda a proteger la libreta de direcciones de Internet: el Sistema de Nombres de Dominio (DNS, por sus siglas en inglés).

La Junta directiva de ICANN, en su reunión de esta semana en Bélgica, decidió continuar con sus planes de cambiar o "roll" la clave para la raíz del DNS el próximo 11 de octubre del 2018. Será la primera vez que se cambie la llave desde que se puso en marcha en el 2010.

Durante su reunión, ICANN explicó en detalle las fuerzas impulsoras de la necesidad de mejorar la seguridad del DNS que traerá consigo el traspaso. Por ejemplo, la continua evolución de las tecnologías e instalaciones de Internet, el despliegue de dispositivos de Internet de las Cosas (IoT, por sus siglas en inglés), y el aumento de la capacidad de las redes en todo el mundo, junto con la desafortunada falta de seguridad suficiente en esos dispositivos y redes, hacen que los atacantes tengan cada vez más poder para paralizar la infraestructura de Internet, declaró ICANN.

"Específicamente, el crecimiento de la capacidad de ataque corre el riesgo de sobrepasar la capacidad de la comunidad de operadores de servidores raíz para ampliar la capacidad defensiva. Aunque sigue siendo necesario seguir ampliando la capacidad defensiva a corto plazo, las perspectivas a largo plazo para el enfoque tradicional parecen sombrías", afirmó ICANN.

El rollover de KSK significa generar un nuevo par de claves criptográficas públicas y privadas, y distribuir el nuevo componente público a las partes que los validan, según ICANN. Estas partesejecutan software que convierte direcciones típicas como cioperu.pe en direcciones de red IP.

Éstos incluyen a: proveedores de servicios de Internet, administradores de redes empresariales y otros operadores de resolución de DNS, desarrolladores de software de resolución de DNS, integradores de sistemas y distribuidores de hardware y software que instalan o envían el "ancla de confianza" de la raíz, dijo ICANN.

ICANN señaló que debido a la falta de un despliegue significativo de extensiones de seguridad del sistema de nombres de dominio (validación DNSSEC), las respuestas del sistema de servidores raíz siguen corriendo el riesgo de sufrir ataques de integridad.

Del mismo modo, como resultado de los mensajes DNS que se supone que se envían sin cifrar, los usuarios del sistema de servidores raíz (es decir, los resolvers) están sujetos a ataques de confidencialidad. Aunque estos ataques no son necesariamente nuevos, la dependencia cada vez mayor del DNS y, por lo tanto, del sistema de servidores raíz, sugiere que se necesita una nueva estrategia para reducir el efecto de estos ataques, afirmó ICANN.

ICANN dijo que espera un impacto mínimo en los usuarios, pero un pequeño porcentaje de usuarios de Internet podría tener problemas para resolver los nombres de dominio, lo que significa que tendrán problemas para llegar a su destino en línea.

Para los usuarios empresariales, la mudanza debería tener poco impacto. En primer lugar, ICANN dijo que más del 99% de los usuarios cuyas resoluciones están validando, no se verán afectados por la transferencia de KSK. Las empresas ya deberían haber actualizado su software para realizar transferencias automáticas de llaves (transferencias "RFC 5011") o haber instalado manualmente la nueva llave ya.

"No hay manera de asegurar completamente que cada operador de red tenga sus 'resolvers' configurados correctamente; sin embargo, si las cosas van según lo previsto, esperamos que la gran mayoría tenga acceso a la zona raíz", dijo en una declaración la presidenta de la Junta directiva de ICANN, Cherine Chalaby.

La investigación muestra que hay muchos miles de operadores de red que han permitido la validación de DNSSEC, y cerca de un cuarto de los usuarios de Internet dependen de esos operadores, señaló David Conrad, director de tecnología de ICANN.

"Es casi seguro que habrá al menos unos pocos operadores en algún lugar del mundo que no estarán preparados, pero incluso en el peor de los casos, todo lo que tienen que hacer para solucionar el problema es desactivar la validación de DNSSEC, instalar la nueva clave y volver a habilitar DNSSEC y sus usuarios volverán a tener plena conectividad con el DNS", dijo.

"Este es el primer cambio fundamental, pero no será el último", señaló Matt Larson, vicepresidente de investigación de ICANN y persona clave de la organización. "Esta es la primera vez, así que naturalmente estamos haciendo todo lo posible para asegurarnos de que todo vaya tan bien como sea posible, pero a medida que hagamos más rollovers claves en el futuro, los operadores de redes, ISPs y otros se acostumbrarán más a la práctica".