Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

Puntos a tener en cuenta sobre el incidente del secuestro del dominio Diigo

2 de noviembre de 2012
Por Dave Piscitello

Dave Piscitello, Tecnólogo Principal de Seguridad, del Equipo de Seguridad de la ICANN

Diigo es una anotación social y un servicio de marcadores que millones de personas, profesores y estudiantes utilizan a diario para administrar y compartir información, realizar una investigación y colaborar. El 24 de octubre un atacante tomó control de la cuenta registradora de dominios Diigo. El dominio fue secuestrado del poder de Diigo, por lo que no pudo prestar sus servicios por más de dos días a una cantidad estimada de cinco millones de usuarios. TechCrunch publicó información detallada sobre el incidente que debería servir como un serio recordatorio para todos aquellos que registren un dominio: su nombre de dominio es una característica importante de su presencia en Internet y debe tomar ciertas medidas para supervisar y prevenir ataques que puedan interrumpir los servicios que usted ofrece, obstaculizar investigaciones, causar perdidas de material o perjudicar su reputación.

El secuestro de dominios no es nada nuevo. El Comité Asesor de Seguridad y Estabilidad (SSAC) de la ICANN comenzó a concientizar al público sobre esta amenaza en el año 2006, cuando publicó su primer Informe sobre Secuestros de Dominios [PDF, 400 KB]. Desde entonces, el SSAC y los miembros del Equipo de Seguridad de la ICANN han recomendado ciertas medidas que pueden tomar los registratarios para proteger sus cuentas de registro de nombres de dominio y maneras en que los registradores los pueden ayudar (SAC040, SAC044).

El incidente con Diigo es un caso que involucra el compromiso de una cuenta, la extorsión y la transferencia no autorizada de un dominio. Entre otras medidas que se recomiendan, estos informes destacan la importancia que tiene la protección de cuentas con credenciales (nombres de usuarios y contraseñas) que no puedan ser adivinadas fácilmente u obtenidas a través de la ingeniería social. Recuerde: cualquier persona que tenga acceso a sus credenciales, ya sea usted, el personal que contrata para alojar su sitio web o personal de registradores, puede ser víctima de un ataque de ingeniería social.

Los informes también explican la importancia de utilizar “bloqueos” para prevenir transferencias no autorizadas. Otros informes del SSAC explican la forma en que se puede secuestrar un nombre de dominio mediante la modalidad de suplantación de identidad [PDF, 50 KB]: en este caso, un atacante que se hace pasar por un registrador atrae al cliente a una copia falsa de la página de inicio de sesión del sitio del registrador, donde el cliente puede divulgar inadvertidamente las credenciales de la cuenta al atacante, y este luego puede modificarlas o tomar posesión de sus nombres de dominio.

Nuestra “pequeña lista” de medidas que todos los registrantes deberían implementar para protegerse de secuestros de dominios u otros ataques a nombres de dominios incluye:

  1. Proteja las credenciales de la cuenta del nombre de dominio. La mayoría de los portales de cuentas de registradores están protegidos con contraseñas, por lo que es importante crear contraseñas seguras y protegerlas. También se recomienda que adquiera un registrador que ofrezca autenticación de factores múltiples (por ejemplo, un “token” [credencial de seguridad]).
  2. Utilice SSL (HTTPS) cuando ingrese a su cuenta de registro de nombre de dominio.
  3. Utilice registradores acreditados por la ICANN. Consulte sobre la reputación e informe de servicios de los registradores. Si no está completamente cómodo con un registrador, usted puede y debería considerar realizar la transferencia de su dominio a un grupo en el cual usted confíe.
  4. Solicite a su registrador que instale bloqueos al registrador en sus nombres de dominio. Los bloqueos (oficialmente, códigos de estado) previenen que se realicen cambios a sus registros de nombres de dominio y bloquea la posibilidad de realizar transferencias o de eliminar sus nombres de dominio (consulte SAC044, página 22-23). Algunos operadores de registros de Dominio de Alto Nivel (TLD) ofrecen bloqueos de registros para prevenir la realización de cambios a cuentas de registros. Este servicio se ofrece junto con servicios de bloqueo que ofrecen registradores, y suelen incluir apoyo manual (1, 2).
  5. Preste atención a los correos electrónicos “de rutina” de los registradores, ya que estos podrían ser correos electrónicos de atacantes. A través de estos correos los atacantes suelen utilizar códigos HTML para introducir enlaces maliciosos en enlaces que aparentan ser inofensivos y “seguros”. No haga clic en el enlace. En cambio, ingréselo manualmente.
  6. Controle la información del DNS y WHOIS de su dominio. Revise ambos con frecuencia para detectar cualquier cambio sospechoso o que no haya sido autorizado (consulte SAC044, página 20-22).
  7. Mantenga la información de la cuenta registrante de su nombre de dominio privada, segura y recuperable.

Para obtener más información, consulte los siguientes artículos:

Medidas para proteger registraciones de dominios (de Universidades) y el DNS de secuestros
http://securityskeptic.typepad.com/the-security-skeptic/2011/07/measures-to-protect-university-domains-against-attacks.html

Podcast: Cómo proteger sus cuentas de registro de dominios de ataques o usos indebidos
http://securityskeptic.typepad.com/the-security-skeptic/2011/02/podcast-how-to-protect-your-domain-registration-accounts-against-attack-or-misuse.html

Razones por las cuales necesita tener en cuenta la “Protección del Nombre de Dominio” en su lista de control de seguridad
http://www.networkcomputing.com/data-protection/why-you-need-to-add-protect-domain-name/229616011

Cómo protegerse de los secuestradores de nombres de dominios
http://www.informationweek.com/how-to-protect-yourself-against-domain-n/170000337

¿Quiere registrar un nombre de dominio? Consejos fáciles para el consumidor
http://blog.consumerwebwatch.org/2007/12/want_to_register_a_domain_name_1.html

Las diez cosas más importantes para tener en cuenta a la hora de registrar un nombre de dominio
http://www.consumerwebwatch.org/pdfs/domainname.pdf

Authors

Dave Piscitello