El Sistema de Nombres de Dominio (DNS) es un servicio fundamental en Internet. A medida que aumentan los ataques que aprovechan las vulnerabilidades del DNS, cada vez más la seguridad es un tema de preocupación. La ICANN lleva muchos años respaldando la implementación de las Extensiones de Seguridad del DNS (DNSSEC) a través de diversas iniciativas y programas de creación de capacidades. Estos esfuerzos se han intensificado en los últimos dos años con la regionalización de su cobertura de participación técnica.
Las DNSSEC constituyen una de las soluciones utilizadas para ayudar a asegurar la resolución del DNS. Los registradores de dominios, los administradores de sistemas o los operadores del DNS firman los registros de recursos del DNS en los archivos de zona servidos por los servidores de nombres autorizados mediante el uso de criptografía de clave pública y algoritmos hash. Los resolutores recursivos seguros, normalmente ubicados en la infraestructura del proveedor de servicios de Internet (ISP) o dentro de las redes corporativas, verifican la autenticidad e integridad de las respuestas del DNS que reciben para los dominios firmados. Esta operación se denomina validación de DNSSEC. Los resolutores recursivos seguros ayudan a prevenir la introducción de registros falsos en sus cachés (envenenamiento de caché) y confirman que los datos del DNS que reciben para los dominios firmados provienen de servidores de nombres autoritativos autentificados y no han sido modificados. La firma de los dominios y la validación de los datos del DNS son complementarias entre sí. Ambas deberían adoptarse como prácticas recomendadas del DNS. Para obtener más información sobre las DNSSEC, lo invitamos a consultar este espacio.
Nos gustaría compartir algunos de nuestros esfuerzos y experiencias recientes para promover y apoyar la adopción de DNSSEC en África y la región de Oriente Medio, empezando por la publicación de la Guía de implementación de las DNSSEC para ccTLD (OCTO-029) en los seis idiomas oficiales de la ONU. En nuestras regiones, interactuamos con personas que hablan una variedad de idiomas y creemos que esta guía paso a paso beneficiará a un público numeroso.
También hemos hecho hincapié en ayudar a los dominios de alto nivel con código de país (ccTLD) para que utilicen DNSSEC para proteger sus zonas. Para ello, los guiamos a través de una evaluación de preparación de DNSSEC, proporcionándoles una combinación de capacitación y apoyo técnico para ayudarlos a familiarizarse con las operaciones de firma de las DNSSEC. Mediante el uso de un entorno de prueba, también destacamos los desafíos de su configuración específica y los ayudamos a mejorar la documentación de sus operaciones.
Estamos encantados de ver que algunos ccTLD han utilizado estas herramientas y procesos de desarrollo de capacidades para mejorar sus habilidades y avanzar en sus proyectos. Por ejemplo, nos enorgullece ver que nuevos ccTLD como .ci y .rw han utilizado recientemente DNSSEC para firmar sus zonas. Otros ccTLD también están trabajando activamente en el proceso de implementación de DNSSEC. También seguimos animando y ofreciendo nuestra ayuda a muchas otras personas que aún no han asegurado sus DNS y esperamos poder verlos iniciar el proceso.
Además de firmar sus zonas, también hemos ayudado a una docena de operadores de redes (principalmente ISP) y operadores de redes móviles de África y Medio Oriente a activar la validación de DNSSEC en sus resolutores recursivos. En la actualidad, la activación de la validación de DNSSEC es bastante sencilla para casi todos los resolutores recursivos. Sin embargo, se recomiendan algunas comprobaciones de sanidad previas a la activación, como la compatibilidad con EDNS(0), TCP 53, la sincronización horaria, el anclaje de confianza raíz correcto, etc. Este es el caso, en particular, en un entorno de producción.
Nuestro apoyo ha consistido principalmente en ayudar a los operadores no solo a comprender la importancia de la validación de DNSSEC, sino también a prestar atención a las verificaciones de los requisitos previos. Los apoyamos en el proceso de verificación y los ayudamos a activar y probar este proceso en cada uno de sus resolutores recursivos. Al principio, algunos se mostraban reacios a realizar cambios, que podrían interrumpir sus servicios a los clientes. Sin embargo, cuando empezaron a trabajar con nosotros, se sintieron más cómodos y confiados a la hora de realizar estas mejoras, dado que tienen una visión más clara de los componentes implicados y de las medidas de mitigación en caso de que surjan problemas.
África y Medio Oriente tienen uno de los índices de adopción de DNSSEC más bajos del mundo. Aún nos queda mucho por hacer, aunque hayamos logrado avances. Según APNIC Labs, organismo de investigación del Centro de Información de Redes de Asia Pacífico, el índice de validación de DNSSEC en África ha aumentado en los últimos dos años de menos del 25 % al 30 %, y sigue siendo de alrededor del 50 % en Medio Oriente. Seguimos trabajando con nuestros socios para aumentar la adopción de DNSSEC en África y Medio Oriente.
Seguiremos ofreciendo capacitación y apoyo a los operadores de la región para que implementen la firma y validación de DNSSEC. De este modo, nuestro equipo está ayudando a mejorar la seguridad y la resiliencia de Internet. El nuevo programa KINDNS que la ICANN inició el mes pasado es una herramienta adicional en nuestro kit para ayudar a los operadores a mejorar la seguridad de sus operaciones del DNS.
Nuestro catálogo de cursos está disponible en línea. Si tiene alguna pregunta, duda o necesita ayuda sobre el DNS en general y la implementación de las DNSSEC en particular, no dude en ponerse en contacto con nosotros en octo@icann.org y estaremos encantados de poder ayudarlo.
