DNSSEC: Protección que usted necesita pero no puede ver

Cerca del dieciséis por ciento de la población mundial tiene acceso a la Internet, habiéndose registrado un crecimiento del 200 por ciento entre 2000 y 2005 según datos recopilados por Internet World Stats.  El crecimiento ha sido más acelerado en África (423,9 por ciento) y en Medio Oriente (454,2 por ciento), seguido de América Latina y el Caribe (342,5 por ciento), pero todas las regiones del mundo han registrado un crecimiento superior al 100 por ciento en esos cinco años.  Más personas que nunca -y, presumiblemente, más personas con una amplia variedad de destrezas y niveles de sofisticación- utilizan ahora la Internet.  Y la mayoría de usuarios confían en el sistema de nombres de dominio de la Internet, que conduce a partir de nombres fáciles de recordar a direcciones IP (Protocolo de Internet), y esperan ser conducidos de manera confiable al sitio Web que han ingresado en un buscador.

Desafortunadamente, eso no siempre ocurre.  Los atacantes pueden irrumpir en el sistema de nombres de dominio (DNS) interceptando transmisiones u obteniendo acceso ilícito a servidores en la red para manipular indebidamente la información del sistema DNS.  La capacidad de reencaminar a los usuarios incautos hacia otros dominios deja abierto el riesgo de fraude en el comercio electrónico o de ataques contra la infraestructura de la Internet, en donde la mayoría de usuarios finales no pueden evitarlo, ni siquiera detectarlo.

Los ataques serios contra el sistema DNS son una realidad.  En junio de 2006, Michelle Baltazar informó en Financial Standard que un estudio sobre Seguridad Global de Deloitte determinó que “más de las tres cuartas partes de los 150 grupos financieros líderes en el mundo han sufrido una violación seria a su seguridad en los últimos doce meses”.  Estos ataques fueron el resultado de prácticas de “phishing”, en donde un mensaje de correo electrónico es usado para atraer engañosamente a los usuarios finales a sitios falsos, y otras más insidiosas de “pharming”, en donde un ataque al sistema DNS reencamina a los usuarios a un sitio “bogus”.

Las buenas noticias son que se encuentran en camino medidas de seguridad en un esfuerzo global de cooperación para ayudar a que el sistema DNS funcione como la gente espera que lo haga –de manera confiable.  Desde la década de 1990, la comunidad técnica internacional ha venido trabajando en el protocolo de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC, por sus siglas en inglés) a través del proceso de establecimiento de normas del Grupo de Trabajo en Ingeniería de Internet (IETF, por sus siglas en inglés), después de que varias voces respetadas demostraron la existencia y gravedad de la amenaza.  La norma fue publicada en octubre de 2004 y se ha iniciado su despliegue a escala internacional.

DNSSEC introduce firmas digitales en toda la jerarquía del sistema DNS, que comienza en la raíz y se extiende a través de los dominios de más alto nivel (los TLD genéricos, tales como .COM, .NET y .INFO y los códigos de país tales como .MX, .BR y .CL), a zonas individuales.  DNSSEC establece que el binding entre un nombre de dominio y sus registros de recursos, incluso sus direcciones IP, no se ha visto comprometido.  Puede usarse para rastrear las direcciones usadas para servidores de la red y de correo electrónico hacia atrás hasta el usuario de buena fe del dominio, para proporcionar pruebas certeras que un binding es bogus (falso), o para demostrar que un nombre de dominio o tipo de recurso específico no existe.  Las aplicaciones como los buscadores en la red y los sistemas de correo electrónico pueden usar las firmas digitales para proporcionar nuevos servicios a sus usuarios.

El despliegue de DNSSEC en una zona es un proceso que comprende dos pasos.  La clave que firma la información de la zona (la clave para firmas de zonas) está a su vez firmada, y la parte privada del par de claves (la clave para firma de claves) es entonces retenida por la zona superior, de manera que cualquier sistema que cumple con DNSSEC y que solicita información de una zona que cumple con DNSSEC puede validar la clave.  Esto crea una cadena de confianza en toda la trayectoria hacia arriba de la jerarquía del sistema DNS, eventualmente hasta la raíz.  Ambos pares de claves, la clave para firma de zonas y la clave para firma de claves, deben ser cambiadas o reemplazadas a intervalos regulares o, si se han visto comprometidas, de forma no programada.  El reemplazo de claves sigue siendo tema de investigación.  Además, es posible “recorrer una zona”, lo que permite a una persona descubrir el contenido completo de un archivo de zona, lo cual puede desafiar la privacidad y la seguridad de los datos.  Un grupo internacional de desarrollo está trabajando con ambos problemas dentro del proceso del Grupo IETF.  Finalmente, la firma de la raíz y el manejo de sus claves son críticos para el despliegue y se están haciendo esfuerzos para hacerlo.

El Registro Nacional Sueco (.SE) se convirtió en el primer dominio de máximo nivel (TLD) que desplegó el protocolo en septiembre de 2005.  La organización de servicios de infraestructura europea, RIPE NCC, también ha comenzado a desplegar DNSSEC en sus zonas, y .AERO, un TLD patrocinado en el sector de servicios de transporte para la aviación con sede en Ginebra, ha anunciado planes para hacerlo también.  El grado de interés es alto e ICANN (la Corporación de Internet para la Asignación de Nombres y Números), entre otras, ha patrocinado talleres regulares que constituyen un foro para la educación y la extensión.  Recientemente, por ejemplo, NIC México y el Tecnológico de Monterrey – Campus de Monterrey lanzaron el sistema DNSSEC de prueba en México, anticipándose a una migración futura a DNSSEC en el ccTLD .MX.

El Departamento de Seguridad Nacional de los Estados Unidos lidera las acciones de ese país para garantizar el sistema de nombres de dominio y respalda la Iniciativa de Despliegue de DNSSEC, que trabaja con muchas naciones y organismos en los sectores público y privado para alentar la adopción de medidas de seguridad para el sistema DNS.  VeriSign, PIR, que opera el TLD .ORG, NeuStar e Internet2, un consorcio de las principales universidades de los Estados Unidos con vínculos con los laboratorios federales de ese país y con  instituciones de investigación canadienses, han participado o están participando en proyectos piloto.

Desde el punto de vista de la organización, los gastos indirectos operativos pueden probablemente ser absorbidos dentro de los marcos de organización existentes.  Sin embargo, el protocolo sí acarrea nuevos procedimientos y puede causar una desorganización temporal.  Quienes lo han adoptado tempranamente observan, no obstante, que el despliegue puede introducirse a través del ciclo natural de “upgrading” y ofrece una oportunidad para racionalizar sistemas ad hoc que en ocasiones son heredados.

Es necesario refinar el protocolo para tratar el tema del reemplazo de claves y el recorrido de zonas.  El comprender el funcionamiento y medir el impacto del protocolo sobre las operaciones existentes representa otro desafío; el impacto potencial del despliegue de DNSSEC varía según qué parte de la transacción se considere, el número de nombres de dominio en una zona y la cantidad de  información acerca de cada nombre de dominio.  Investigadores del Instituto Nacional de Normas y Tecnología de los Estados Unidos, entre otros, están investigando estos temas.   La siguiente página Web resume la información disponible:  http://www-x.antd.nist.gov/dnssec/dnssec-perform.html.  Finalmente, los esfuerzos hasta la fecha han dado como resultado una serie de herramientas (véase http://www.dnssec-deployment.org/TK), pero aún existen algunas brechas.  Además, todavía es necesario un trabajo considerable para hacer que estas herramientas sean más fáciles de usar.