Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

Mejores prácticas para el registro y la administración de carteras de nombres de dominio (Parte II)

23 de junio de 2017
Por
Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director

Carlos’s work is currently focused on helping the Internet community address abuse of Domain Name System resources, by:

  • Providing subject matter expertise on contractual and policy matters with potential anti-abuse and consumer protection implications.
  • Trust-based collaboration with worldwide cyber law enforcement and the operational security community.
  • Capability building, via training law enforcement and other constituents involved in the operation or the security of the Internet identifiers.

He served in the past in ICANN's Contractual Compliance Team where he managed the team responsible for processing all registrar-related complaints worldwide. He also provided key subject matter expert advice and guidance to ICANN's Contractual Compliance Audit Program and to the gTLD registry-related work of the Compliance Team.

Prior to joining ICANN, Carlos participated in the International Attorneys Program at Holland & Knight in Miami and served as the head of the Legal & Business Affairs Division at Sony Music for Colombia, Ecuador, Venezuela and Peru. While in this position he was a member of the Andean legal committee of the IFPI (International Federation of the Phonographic Industry).

He was a pioneer in Latin America in matters related to software anti-piracy, information security from a legal perspective and cyber crime, initially through his work with the local law firm of the Business Software Alliance in Colombia since 1998. His articles on piracy and terrorism, cyber crime, botnets, digital evidence, criminal aspects related to the use of honeypots, legal aspects of information security standards, the Budapest Convention, and other related matters have been published in Colombia, Venezuela, Argentina, Mexico and Spain. He taught computer law, legal aspects of information security and intellectual property in two universities in Bogota and has lectured before many different audiences in the Americas, Europe and Asia, from students to c-level executives, as well as government representatives, regulators, law enforcement, and military and intelligence personnel.

He maintains working relationships with law enforcement cyber units from different countries and while still living in Bogota was a member of the local Electronic Commerce Subcommittee of the International Chamber of Commerce. Carlos is a former co-chair of the Messaging, Malware and Mobile Anti Abuse Working Group (M3AAWG)'s Anti-Phishing Special Interest Group and is a co-chair of M3AAWG's DNS Abuse Special Interest Group.

Carlos is an attorney graduated from the Universidad de los Andes in Bogota. He holds a Master of Laws degree from the University of Southern California Gould School of Law, and has studies on networking with TCP/IP from UCLA.

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

Como continuación de nuestra serie sobre buenas prácticas para administrar los registros de dominio (puede leer el primer post aquí), quisiera proporcionar información sobre las prácticas para el registro de dominios de las grandes organizaciones. En general, presentan características positivas; proporcionan direcciones de correo electrónico válidas para sus contactos de Whois, configuran un servicio de resolución de nombres resiliente y utilizan códigos de estado de EPP para mitigar el secuestro de nombres de dominio.

Muchas organizaciones y entidades gubernamentales siguen prácticas de registro de dominios y recomendaciones como las que se describen en los documentos publicados por el Comité Asesor de Seguridad y Estabilidad de la ICANN (SSAC), como SAC044 y SAC040, para mitigar el riesgo de que sus nombres de dominio sean utilizados indebidamente o explotados.

Sin embargo, también es justo decir que los esfuerzos de mitigación para ciertos riesgos no siempre están presentes. Las organizaciones deben ser conscientes de los riesgos que enfrentan sus nombres de dominio y ajustar sus prácticas de registro existentes para proporcionar un entorno más seguro para sus propias empresas, así como una experiencia en línea más segura y estable para sus clientes. Nosotros las alentamos a que revisen de forma periódica sus registros de dominios y que incluyan el nombre de dominio y la gestión general del DNS dentro de sus programas de gestión de riesgos.

En esta publicación, nos referiremos a las buenas prácticas relacionadas con quienes deberían, y no deberían, ser el registratario real y el contacto administrativo.

¿Quién es el registratario real?

Actual Registrant

Cada nombre de dominio está registrado de conformidad con un acuerdo de registro entre un registratario y un registrador patrocinador. En esta captura de pantalla, puede ver dos campos que identifican quién es el registratario tal y como aparecen en el resultado de WHOIS del nombre de dominio de icann.org.

En cuanto a las registraciones corporativas, si el campo Organización del registratario muestra el nombre de una entidad legal existente, se considerará que dicha entidad legal es el registratario del nombre de dominio. Sin embargo, cuando el campo Organización del registratario está vacío o cuando el nombre que aparece en él no corresponde a una entidad legal real (como "Administrador del dominio", por ejemplo), el registratario real será cualquiera que figure en el campo Nombre del registratario.

Esta situación ocurre a veces cuando los empleados registran nombres para sus empleadores y no incluyen la información apropiada en los campos correspondientes. Pueden dejar en blanco la Organización del registratario o incluir el nombre de su departamento y su propio nombre en el campo reservado para el Nombre del registratario, convirtiéndose ellos mismos en los registratarios reales de los dominios de su empresa. En estos casos, las organizaciones se enfrentan al riesgo de que las registraciones sean disputadas por sus empleados, quienes pueden reclamar los derechos sobre los dominios y tratar de transferirlos, sobre la base de que la organización en particular no es parte del acuerdo entre el registrador y el registratario.

Teniendo en cuenta este riesgo, las organizaciones deben asegurarse de que su nombre legal aparezca en el campo Organización del registratario y que un nombre basado en las funciones o basado en un departamento aparezca en el campo Nombre del registratario.

Registratario de terceros o contacto administrativo.

Por otro lado, y quisiera señalar muy claramente que esto NO constituye un asesoramiento jurídico (siempre debe procurar el asesoramiento jurídico adecuado al redactar o revisar los contratos), las organizaciones a veces permiten que terceros, como su proveedor de alojamiento, desarrollador web o estudio jurídico, aparezcan listados como el registratario de sus dominios. Esto generalmente no se considera una buena práctica. Cuando una organización subcontrata la administración de su cartera de dominios, idealmente debería aún aparecer en la lista como registratario del dominio, independientemente de si el administrador de la cartera aparece como el contacto administrativo, técnico o de facturación del dominio.

Permitir que un tercero sea el registratario de los dominios de una organización significa que la organización NO será el registratario registrado. Esto podría permitir a ese tercero impugnar la registración en términos de transferir los dominios a un registrador diferente y privar a la organización y a sus empleados, clientes y socios comerciales del uso de los dominios, al menos hasta después de que la organización contrate a un abogado, pague los honorarios legales, inicie los procedimientos correspondientes, ya sean administrativos, tales como UDRP o URS, o judiciales en la jurisdicción apropiada. E incluso después de todo eso, no existe garantía alguna de que la organización realmente tendrá éxito en los procedimientos.

Ahora bien, en lo que respecta a que el administrador de la cartera figure como contacto administrativo o técnico, una buena práctica consiste en establecer una relación contractual (separada) entre la organización y ese tercero (recuerde que ésta es una descripción de una buena práctica, NO un asesoramiento jurídico). Desde el punto de vista técnico y de operaciones de seguridad, es una buena práctica incluir disposiciones en el contrato que asignen la autoridad para administrar el nombre de dominio, incluida la facultad de, por ejemplo, transferir el nombre de dominio a un registrador diferente según las instrucciones de la organización, o permitir que el dominio caduque, cambiar los registros del servidor de nombres, establecer el estado del dominio o cambiar los datos de contacto. Ese contrato también podría especificar las circunstancias en las que el contacto administrativo o técnico estaría autorizado u obligado a modificar cualquier aspecto de la registración o del funcionamiento del nombre de dominio.

Parte de esta buena práctica incluye agregar disposiciones en ese acuerdo que provean las medidas operativas que los contactos administrativos y técnicos deberían implementar o ejecutar para proteger los nombres de dominio de la organización, incluidas aquellas que se estimen apropiadas en respuesta a incidentes de seguridad, como los ataques de denegación de servicio distribuido contra los servidores de nombres del dominio, compromiso del servidor que conduce al contenido alojado sin la autorización del registratario, creación no autorizada de subdominios o incluso la modificación o adición no autorizada de registros de zona. Estas medidas operativas pueden incluir, por ejemplo, la presentación de informes con el registrador correspondiente o con el organismo de cumplimiento de la ley en las jurisdicciones apropiadas. Por último, al igual que con todo contrato, también podría definir las sanciones para las situaciones en las que la parte que figura como contacto administrativo o técnico incumpla sus obligaciones con respecto a la administración de los nombres de dominio.

Una vez más, esta sección no constituye un asesoramiento jurídico, por lo tanto, depende de usted procurar el asesoramiento jurídico adecuado, al igual que la consideración de las formas de abordar estas buenas prácticas desde el punto de vista técnico, operativo y contractual.

En futuras publicaciones, nos referiremos a las buenas prácticas relacionadas con los códigos de estado de EPP (¿qué es un código de estado de EPP?), los servidores de nombres y otros aspectos a tener en cuenta al administrar las registraciones de dominios.

Authors

Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director
Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director

Carlos’s work is currently focused on helping the Internet community address abuse of Domain Name System resources, by:

  • Providing subject matter expertise on contractual and policy matters with potential anti-abuse and consumer protection implications.
  • Trust-based collaboration with worldwide cyber law enforcement and the operational security community.
  • Capability building, via training law enforcement and other constituents involved in the operation or the security of the Internet identifiers.

He served in the past in ICANN's Contractual Compliance Team where he managed the team responsible for processing all registrar-related complaints worldwide. He also provided key subject matter expert advice and guidance to ICANN's Contractual Compliance Audit Program and to the gTLD registry-related work of the Compliance Team.

Prior to joining ICANN, Carlos participated in the International Attorneys Program at Holland & Knight in Miami and served as the head of the Legal & Business Affairs Division at Sony Music for Colombia, Ecuador, Venezuela and Peru. While in this position he was a member of the Andean legal committee of the IFPI (International Federation of the Phonographic Industry).

He was a pioneer in Latin America in matters related to software anti-piracy, information security from a legal perspective and cyber crime, initially through his work with the local law firm of the Business Software Alliance in Colombia since 1998. His articles on piracy and terrorism, cyber crime, botnets, digital evidence, criminal aspects related to the use of honeypots, legal aspects of information security standards, the Budapest Convention, and other related matters have been published in Colombia, Venezuela, Argentina, Mexico and Spain. He taught computer law, legal aspects of information security and intellectual property in two universities in Bogota and has lectured before many different audiences in the Americas, Europe and Asia, from students to c-level executives, as well as government representatives, regulators, law enforcement, and military and intelligence personnel.

He maintains working relationships with law enforcement cyber units from different countries and while still living in Bogota was a member of the local Electronic Commerce Subcommittee of the International Chamber of Commerce. Carlos is a former co-chair of the Messaging, Malware and Mobile Anti Abuse Working Group (M3AAWG)'s Anti-Phishing Special Interest Group and is a co-chair of M3AAWG's DNS Abuse Special Interest Group.

Carlos is an attorney graduated from the Universidad de los Andes in Bogota. He holds a Master of Laws degree from the University of Southern California Gould School of Law, and has studies on networking with TCP/IP from UCLA.

Puede que también le interese

Blogs recientes

Blogs por autor

Búsqueda avanzada

Buscar

¿Interesado en recibir más contenido como este?

Suscribirse