es

Cumplimiento Contractual: Abordando el uso indebido de la infraestructura del Sistema de Nombres de Dominio (DNS)

8 de noviembre de 2018

Jamie HedlundJamie Hedlund, SVP, Contractual Compliance & U.S. Government Engagement
null

Una entrada de blog anterior: Seis semanas en Cumplimiento Contractual y Protección al Consumidor, informó a la comunidad de la ICANN sobre tres iniciativas del departamento de Cumplimiento Contractual. La entrada de blog de hoy es una actualización de dos de esas iniciativas: aumentar la transparencia entorno a las actividades de cumplimiento y el uso indebido de la infraestructura del Sistema de Nombres de Dominio (DNS).

Muchos de ustedes pueden haber visto algunas de las recientes mejoras en la transparencia. El Tablero de control mensual de Cumplimiento Contractual ahora incluye más información con respecto al informe del uso indebido del DNS relacionado con el Registrador que se ocupa de los reclamos, incluidos los informes sobre spam, pharming, phishing, malware y botnets. También incluye información sobre falsificación, preocupaciones farmacéuticas en línea, prácticas fraudulentas y engañosas, infracción de marcas registradas o derechos de autor, y reclamos sobre contactos de abuso de los Registradores.

La segunda iniciativa, que trata el uso indebido de la infraestructura del DNS, se lleva a cabo en un momento en el cual grandes sectores de la comunidad han expresado su preocupación por la prevalencia de este abuso y han cuestionado la predisposición y capacidad de la organización de la ICANN y de las partes contratadas para abordarlo. Por ejemplo, el Informe Final del Equipo de Revisión de Competencia, Confianza y Elección de los Consumidores incluye un largo capítulo sobre el uso indebido de la infraestructura del DNS e incluye varias recomendaciones relacionadas. El Comité Asesor Gubernamental (GAC) también ha expresado su preocupación sobre el uso indebido de la infraestructura del DNS en el Comunicado del GAC pronunciado en Copenhague y en otros lugares.

En Cumplimiento Contractual, estamos realizando auditorías que están específicamente enfocadas sobre el tema del uso indebido de la infraestructura del DNS. Hemos ampliado el alcance de las preguntas y las pruebas en nuestras auditorías a Registradores y Registros, enfocándonos en el proceso, los procedimientos y el manejo del uso indebido de la infraestructura del DNS. Las pruebas de auditoría revisadas se centran en examinar los informes de amenazas de seguridad, a fin de verificar que estén completos y compararlos con los informes públicamente disponibles.

Anteriormente, la ICANN incluyó las preguntas de auditoría ampliadas en la Auditoría de Registros de marzo de 2018   realizada sobre 20 dominios genéricos de alto nivel (gTLD). A través de esta auditoría, identificamos las acciones que los Registros y Registradores están tomando para abordar el uso indebido de la infraestructura del DNS. Las mismas incluyen el análisis frecuente de las amenazas de seguridad e informes de contención para futuras consultas. Estos informes identificaron dominios abusivos que también fueron identificados en informes de abuso públicamente disponibles (por ejemplo, MalwarePatrol, PhishTank, Spamhaus y SURBL) e incluyeron evidencia de acciones tomadas contra los dominios abusivos. La auditoría también mostró que hubo análisis e informes de seguridad incompletos para 13 dominios de alto nivel (TLD), así como una falta de procedimientos estandarizados o documentados para el manejo del uso indebido, así como medidas no tomadas respecto a amenazas identificadas. Estos 13 nuevos gTLD se volverán a probar en la próxima ronda.

Esta semana, la ICANN lanzó una auditoría enfocada en el uso indebido de la infraestructura del DNS para cerca de 1200 gTLDs, y realizó dos seminarios web de auditoría con los Registros a fin de abordar preguntas e inquietudes. Algunas de estas preocupaciones también fueron planteadas en un correo electrónico reciente del Grupo de Partes Interesadas de Registros (RySG) y fueron abordadas por el departamento de Cumplimiento Contractual. Por primera vez, y para ayudar a preparar la próxima auditoría, enviamos a los auditados la lista completa de los gTLD incluidos en la auditoría, y una lista proforma de preguntas y datos requeridos que se incluirán en la ronda de Auditoría de Registros de noviembre de 2018.  En referencia a otra primera vez, la ICANN está publicando esta información en el sitio web ICANN.org, en un esfuerzo por aumentar la transparencia.

La misión de la ICANN es garantizar la seguridad y la estabilidad del DNS. De acuerdo con nuestra misión, el equipo de Cumplimiento Contractual de la ICANN está ahora abordando el uso indebido de la infraestructura del DNS, mediante la realización de auditorías a Registros y Registradores. El propósito de estas auditorías es garantizar que las partes contratadas cumplan con sus obligaciones contractuales relativas al abuso de la infraestructura del DNS y a las amenazas de seguridad. Al finalizar las auditorías, el departamento de Cumplimiento Contractual de la ICANN publicará nuestros hallazgos y observaciones, incluidos ejemplos de estrategias y procesos destinados a mitigar el uso indebido de la infraestructura del DNS.

Si tienes alguna pregunta relacionada con las auditorías, comunícate con el departamento de Cumplimiento Contractual de la ICANN a través de complianceaudit@icann.org.

Jamie Hedlund
Jamie Hedlund
SVP, Contractual Compliance & U.S. Government Engagement

Jamie Hedlund

Read biographyRead biography