Internet Corporation for Assigned Names and Numbers

DNSSEC – ¿Qué es y por qué es importante?

Para contactar a otra persona a través de Internet, debe escribir una dirección en su ordenador: un nombre o un número. Esa dirección tiene que ser única para que los ordenadores sepan cómo encontrarse entre sí. ICANN se ocupa de coordinar estos identificadores únicos en todo el mundo. Sin esa coordinación no tendríamos una Internet global. Al escribir un nombre, un sistema debe traducir ese nombre en un número antes de que se pueda establecer la conexión. Ese sistema se denomina Sistema de nombres de dominio (DNS) y traduce nombres como www.icann.org en números, denominados direcciones IP (sigla que corresponde a Protocolo de Internet). ICANN coordina el sistema de direcciones para garantizar que sean únicas.

Recientemente, se han detectado vulnerabilidades en el DNS que permiten que un atacante fuerce el proceso de buscar una persona o buscar un sitio en Internet utilizando su nombre. El objetivo del ataque es tomar el control de la sesión para, por ejemplo, enviar al usuario al propio sitio web fraudulento del atacante, con el fin de obtener los datos de la cuenta y la contraseña.

Estas vulnerabilidades han aumentado el interés por introducir una tecnología denominada Extensiones de seguridad del DNS (DNSSEC, la sigla en inglés) para proteger este aspecto de la infraestructura de Internet.

Las preguntas y respuestas que se incluyen a continuación, intentan explicar qué es la DNSSEC y por qué es importante su implementación.

1) En primer lugar, ¿qué es la zona raíz?

El DNS traduce los nombres de dominio que se pueden memorizar en números que usan los equipos para buscar el destino (similar al uso de una libreta telefónica para buscar un número de teléfono). Este proceso se realiza en etapas. En el primer lugar que busca es en el primer nivel del servicio de directorio, o la “zona raíz”. Si tomamos www.google.com como ejemplo, el equipo consulta en el directorio de la zona raíz (o primer nivel) dónde puede encontrar información sobre “.com”. Una vez que obtiene una respuesta, consulta al servicio de directorio “.com” identificado por la raíz, dónde puede encontrar información sobre .google.com (el segundo nivel), y por último, consulta al servicio de directorio google.com identificado por “.com”, cuál es la dirección de www.google.com (el tercer nivel). Después de este proceso – que es prácticamente instantáneo–, la dirección completa aparece en el equipo. Diversas entidadesi1 administran cada uno de estos servicios de directorio: Google administra google.com, VeriSign Corporation administra “.com” (otras organizaciones se ocupan de otros dominios de primer nivel), y la zona raíz está a cargo de ICANN.

2) ¿Por qué es necesario “firmar la raíz”?

Las vulnerabilidades detectadas recientemente en el DNS, junto con los avances tecnológicos, han reducido en gran medida el tiempo que necesita un atacante para forzar cualquier paso del proceso de búsqueda del DNS y, por lo tanto, tomar el control de una sesión para, por ejemplo, dirigir al usuario a sus propios sitios fraudulentos con el objeto de obtener los datos de su cuenta y contraseña. La única solución a largo plazo para esta vulnerabilidad es la implementación integral de un protocolo de seguridad denominado Extensiones de seguridad del DNS, o DNSSEC.

3) ¿Qué es DNSSEC?

DNSSEC es una tecnología que se ha desarrollado, entre otras cosas, para brindar protección contra este tipo de ataques mediante la firma digital de los datos a fin de tener la seguridad de que son válidos. Sin embargo, para eliminar esta vulnerabilidad de Internet, esta tecnología se debe implementar en cada uno de los pasos del proceso de búsqueda, desde la zona raíz hasta el nombre de dominio final (por ejemplo, www.icann.org). La firma de la raíz (implementar la DNSSEC en la zona raíz) es un paso necesario de este proceso generalii. Es importante destacar que no cifra los datos. Tan solo certifica la validez de la dirección del sitio que se visita. 2

4) ¿Qué sucedería si no se implementase esta tecnología en todas las demás partes de la cadena de direcciones?

Nada. Pero, al igual que cualquier cadena que basa su fortaleza en otra parte, si se deja la zona raíz sin firmar, existirá un punto débil importante. Algunas partes serían de confianza mientras que otras podrían no serlo.

5) ¿De qué manera mejorará la seguridad para el usuario medio?

La implementación integral de la DNSSEC permitirá asegurar que el usuario final se conecte al sitio web real u a otro servicio que corresponda a un nombre de dominio en particular. Aunque no se solucionarán todos los problemas de seguridad de Internet, será útil para proteger una parte importante –el directorio de búsqueda- y complementará otras tecnologías como SSL (https:) que protegen las “transmisiones”, a la vez de sentar las bases para mejoras en la seguridad que todavía falta desarrollar.

6) ¿Qué sucede realmente cuando se firma la raíz?

Al “firmar la raíz” mediante la DNSSEC, se agregan algunos registros más por dominio de primer nivel al archivo de la zona raíz. Lo que se agrega es una clave y una firma que certifican la validez de tal clave.

La DNSSEC ofrece una ruta de validación para los registros. No cifra ni modifica la administración de los datos, y es compatible con versiones anteriores del DNS y las aplicaciones actuales. En otras palabras, no modifica los protocolos actuales sobre los que se basa el sistema de direcciones de Internet. Incorpora una cadena de firmas digitales en la jerarquía del DNS, donde cada nivel posee su propia firma para generar claves. Esto significa que para un nombre de dominio como www.icann.org , cada organización de la cadena debe firmar la clave de la organización inmediatamente inferior. Por ejemplo, .org firma la clave de icann.org y la raíz firma la clave de .org. Durante la validación, la DNSSEC sigue esta cadena de confianza hasta la raíz automáticamente, y valida las claves “secundarias” con las claves “principales” en el recorrido. Dado que la validación de cada clave puede estar a cargo del nivel superior, la única clave necesaria para validar el nombre de dominio completo sería la clave principal superior o la clave raíz.

Esta jerarquía significa, sin embargo, que incluso con la firma en el nivel raíz, la implementación completa de la DNSSEC en todos los nombres de dominio será un proceso largo, ya que cada nivel inferior también debe estar firmado por los operadores respectivos para completar una cadena de confianza en particular. La firma de la raíz es sólo el comienzo. Pero, es fundamental. Recientemente, los operadores de TLD han acelerado las iniciativas para implementar la DNSSEC en sus zonas (.se, .bg, .br, .cz, .pr lo hacen ahora con .gov, .uk, .ca y otros próximamente), y hay más que tienen previsto hacerlo prontoiii. 3

7) ¿Cómo se administra el archivo de la zona raíz?

La administración de la raíz se comparte entre cuatro entidades:

i) ICANN, una organización internacional sin fines de lucro, en virtud del contrato celebrado con el Departamento de Comercio del Gobierno de Estados Unidos, cumple la función de “IANA”. IANA es la sigla que corresponde a Autoridad para números asignados de Internet. ICANN recibe y examina información procedente de los operadores de los dominios de primer nivel (TLD) (por ej. “com”);

ii) La Dirección Nacional de Telecomunicaciones e Información (NTIA), una oficina que depende del Departamento de Comercio de los EE. UU., autoriza los cambios en la raíz;

iii) VeriSign es una empresa con sede en los Estados Unidos contratada por el Gobierno para editar la zona raíz con las modificaciones provistas y autenticadas por ICANN, y está autorizada por el Departamento de Comercio, y distribuye el archivo de zona raíz que contiene información sobre dónde encontrar datos de (por ej. “com”); y

iv) un grupo internacional de operadores de servidores raíz que voluntariamente operan y tienen la titularidad sobre más de doscientos servidores en todo el mundo que distribuyen información raíz desde el archivo correspondiente a través de Internet. Ordenados por letra, los operadores de los servidores raíz son los siguientes:

A) VeriSign Global Registry Services;

B) Information Sciences Institute at USC;

C) Cogent Communications;

D) University of Maryland;

E) NASA Ames Research Center;

F) Internet Systems Consortium Inc.;

G) U.S. DOD Network Information Center;

H) U.S. Army Research Lab;

I) Autonomica/NORDUnet, Suecia;

J) VeriSign Global Registry Services;

K) RIPE NCC, Países Bajos;

L) ICANN;

M) WIDE Project, Japón.

Ref.: http://www.root-servers.org

8) ¿Por qué es importante para la seguridad de DNSSEC que las tareas de examen, edición y firma estén a cargo de una sola organización?

Para DNSSEC, la fortaleza de cada enlace de la cadena de confianza se basa en la confianza que tenga el usuario en la organización que examina la clave y en otros datos del DNS de ese enlace. A fin de garantizar la integridad de esta información y de preservar la confianza, una vez que se han autenticadoiv los datos, se los debe proteger inmediatamente contra errores, ya sean deliberados o accidentales, que se pueden introducir en cualquier momento que se intercambian datos clave entre organizaciones. Si una sola organización y un solo sistema incorporan directamente el material autenticado en la zona firmada se mantiene esa confianza hasta la publicación. Simplemente es más seguro. 4

Gracias a la mayor confianza en la seguridad del DNS que aportará DNSSEC, se hace más importante que la confianza lograda a través de la validación y la autenticación del material de anclaje de confianza de TLD que realiza ICANN se mantenga a través de un archivo de zona raíz firmado.

9) En la tecnología DNSSEC, ¿a qué se refiere KSK y ZSK?

La sigla KSK corresponde a clave de firma de clave (una clave de términos larga) y la sigla ZSK corresponde a clave de firma de zona (una clave de términos corta). Con tiempo y datos suficientes, las claves criptográficas eventualmente pueden verse amenazadas. En el caso de la criptografía de clave pública o asimétrica utilizada en la tecnología DNSSECv, esto significa que el atacante determina, a través de ataques por fuerza bruta u otros métodos, la mitad privada del par de claves pública-privada utilizado para crear firmas que certifican la validez de los registros del DNS. Lo que le permite vencer las defensas que interpone la tecnología DNSSEC. DNSSEC obstaculiza estos intentos de amenaza mediante una clave de términos corta - la clave de firma de zona (ZSK) – para computar en forma rutinaria las firmas de los registros del DNS y una clave de términos larga – la clave de firma de clave (KSK) – para calcular una firma en la ZSK para permitir la validación. La clave ZSK se cambia o renueva con frecuencia para que el atacante tenga mayor dificultad a la hora de “suponer”, mientras que la clave KSK más larga se cambia a intervalos mucho más largos (las mejores prácticas vigentes colocan este plazo en el término de un año). Puesto que la KSK firma la ZSK, y la ZSK firma los registros del DNS, sólo se requiere la clave de KSK para validar un registro del DNS en la zona. Es un modelo de la KSK, en la forma de un registro de Firmante de delegación (DS, la sigla en inglés) que se transmite a la zona “principal”. La zona principal (por ej., la raíz) firma el registro de DS del secundario (por ej., .org) con su propia ZSK que, a su vez, recibe la firma de su KSK propia. 5

Esto significa que si la tecnología DNSSEC se adopta en su totalidad, la clave KSK para la zona raíz formaría parte de la cadena de validación de cada nombre de dominio validado por DNSSEC (o aplicación todavía por desarrollar).

10) ¿Quién administra las claves?

En virtud de esta propuesta, ICANN conservaría la infraestructura de claves, pero las credenciales para generar realmente las KSK estarían en manos de terceros. Se trata de un punto importante para la aceptación global general de este proceso. ICANN no propuso una solución específica en cuanto a qué entidades conservarían las credenciales, y cree que éste, al igual que todos estos temas, deben someterse a consulta pública y dejar que el Departamento de Comercio de los EE. UU. tome una decisión.


1 Estas entidades y las operaciones del DNS mismas con frecuencia reflejan la arquitectura general de Internet por su distribución geopolítica y entre organizaciones.

2 La firma de la raíz también simplifica la implementación en las capas inferiores del DNS y, en consecuencia, acelerará la implementación general de la tecnología DNSSEC.

3 http://ccnso.icann.org/surveys/dnssec-survey-report-2007.pdf

4 Así como evitar errores de servicio

5 Para aquellos familiarizados con los métodos criptográficos de clave pública, DNSSEC es una forma de Infraestructura de clave pública (PKI, la sigla en inglés)

Stay Connected

  • News Alerts:
  • Newsletter:
  • Compliance Newsletter:
  • Policy Update: