es

Mejores prácticas para el registro y la administración de carteras de nombres de dominio (Parte II)

23 de junio de 2017
Por Carlos AlvarezCarlos Alvarez

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

Como continuación de nuestra serie sobre buenas prácticas para administrar los registros de dominio (puede leer el primer post aquí), quisiera proporcionar información sobre las prácticas para el registro de dominios de las grandes organizaciones. En general, presentan características positivas; proporcionan direcciones de correo electrónico válidas para sus contactos de Whois, configuran un servicio de resolución de nombres resiliente y utilizan códigos de estado de EPP para mitigar el secuestro de nombres de dominio.

Muchas organizaciones y entidades gubernamentales siguen prácticas de registro de dominios y recomendaciones como las que se describen en los documentos publicados por el Comité Asesor de Seguridad y Estabilidad de la ICANN (SSAC), como SAC044 y SAC040, para mitigar el riesgo de que sus nombres de dominio sean utilizados indebidamente o explotados.

Sin embargo, también es justo decir que los esfuerzos de mitigación para ciertos riesgos no siempre están presentes. Las organizaciones deben ser conscientes de los riesgos que enfrentan sus nombres de dominio y ajustar sus prácticas de registro existentes para proporcionar un entorno más seguro para sus propias empresas, así como una experiencia en línea más segura y estable para sus clientes. Nosotros las alentamos a que revisen de forma periódica sus registros de dominios y que incluyan el nombre de dominio y la gestión general del DNS dentro de sus programas de gestión de riesgos.

En esta publicación, nos referiremos a las buenas prácticas relacionadas con quienes deberían, y no deberían, ser el registratario real y el contacto administrativo.

¿Quién es el registratario real?

Actual Registrant

Cada nombre de dominio está registrado de conformidad con un acuerdo de registro entre un registratario y un registrador patrocinador. En esta captura de pantalla, puede ver dos campos que identifican quién es el registratario tal y como aparecen en el resultado de WHOIS del nombre de dominio de icann.org.

En cuanto a las registraciones corporativas, si el campo Organización del registratario muestra el nombre de una entidad legal existente, se considerará que dicha entidad legal es el registratario del nombre de dominio. Sin embargo, cuando el campo Organización del registratario está vacío o cuando el nombre que aparece en él no corresponde a una entidad legal real (como "Administrador del dominio", por ejemplo), el registratario real será cualquiera que figure en el campo Nombre del registratario.

Esta situación ocurre a veces cuando los empleados registran nombres para sus empleadores y no incluyen la información apropiada en los campos correspondientes. Pueden dejar en blanco la Organización del registratario o incluir el nombre de su departamento y su propio nombre en el campo reservado para el Nombre del registratario, convirtiéndose ellos mismos en los registratarios reales de los dominios de su empresa. En estos casos, las organizaciones se enfrentan al riesgo de que las registraciones sean disputadas por sus empleados, quienes pueden reclamar los derechos sobre los dominios y tratar de transferirlos, sobre la base de que la organización en particular no es parte del acuerdo entre el registrador y el registratario.

Teniendo en cuenta este riesgo, las organizaciones deben asegurarse de que su nombre legal aparezca en el campo Organización del registratario y que un nombre basado en las funciones o basado en un departamento aparezca en el campo Nombre del registratario.

Registratario de terceros o contacto administrativo.

Por otro lado, y quisiera señalar muy claramente que esto NO constituye un asesoramiento jurídico (siempre debe procurar el asesoramiento jurídico adecuado al redactar o revisar los contratos), las organizaciones a veces permiten que terceros, como su proveedor de alojamiento, desarrollador web o estudio jurídico, aparezcan listados como el registratario de sus dominios. Esto generalmente no se considera una buena práctica. Cuando una organización subcontrata la administración de su cartera de dominios, idealmente debería aún aparecer en la lista como registratario del dominio, independientemente de si el administrador de la cartera aparece como el contacto administrativo, técnico o de facturación del dominio.

Permitir que un tercero sea el registratario de los dominios de una organización significa que la organización NO será el registratario registrado. Esto podría permitir a ese tercero impugnar la registración en términos de transferir los dominios a un registrador diferente y privar a la organización y a sus empleados, clientes y socios comerciales del uso de los dominios, al menos hasta después de que la organización contrate a un abogado, pague los honorarios legales, inicie los procedimientos correspondientes, ya sean administrativos, tales como UDRP o URS, o judiciales en la jurisdicción apropiada. E incluso después de todo eso, no existe garantía alguna de que la organización realmente tendrá éxito en los procedimientos.

Ahora bien, en lo que respecta a que el administrador de la cartera figure como contacto administrativo o técnico, una buena práctica consiste en establecer una relación contractual (separada) entre la organización y ese tercero (recuerde que ésta es una descripción de una buena práctica, NO un asesoramiento jurídico). Desde el punto de vista técnico y de operaciones de seguridad, es una buena práctica incluir disposiciones en el contrato que asignen la autoridad para administrar el nombre de dominio, incluida la facultad de, por ejemplo, transferir el nombre de dominio a un registrador diferente según las instrucciones de la organización, o permitir que el dominio caduque, cambiar los registros del servidor de nombres, establecer el estado del dominio o cambiar los datos de contacto. Ese contrato también podría especificar las circunstancias en las que el contacto administrativo o técnico estaría autorizado u obligado a modificar cualquier aspecto de la registración o del funcionamiento del nombre de dominio.

Parte de esta buena práctica incluye agregar disposiciones en ese acuerdo que provean las medidas operativas que los contactos administrativos y técnicos deberían implementar o ejecutar para proteger los nombres de dominio de la organización, incluidas aquellas que se estimen apropiadas en respuesta a incidentes de seguridad, como los ataques de denegación de servicio distribuido contra los servidores de nombres del dominio, compromiso del servidor que conduce al contenido alojado sin la autorización del registratario, creación no autorizada de subdominios o incluso la modificación o adición no autorizada de registros de zona. Estas medidas operativas pueden incluir, por ejemplo, la presentación de informes con el registrador correspondiente o con el organismo de cumplimiento de la ley en las jurisdicciones apropiadas. Por último, al igual que con todo contrato, también podría definir las sanciones para las situaciones en las que la parte que figura como contacto administrativo o técnico incumpla sus obligaciones con respecto a la administración de los nombres de dominio.

Una vez más, esta sección no constituye un asesoramiento jurídico, por lo tanto, depende de usted procurar el asesoramiento jurídico adecuado, al igual que la consideración de las formas de abordar estas buenas prácticas desde el punto de vista técnico, operativo y contractual.

En futuras publicaciones, nos referiremos a las buenas prácticas relacionadas con los códigos de estado de EPP (¿qué es un código de estado de EPP?), los servidores de nombres y otros aspectos a tener en cuenta al administrar las registraciones de dominios.

Authors

Carlos Alvarez

Carlos Alvarez

SSR Engagement Director (LAC)
Read biographyRead biography