Skip to main content

Cumplimiento Contractual: Abordando el uso indebido de la infraestructura del Sistema de Nombres de Dominio (DNS)

Domain abuse 1563x886 08nov18 en

Una entrada de blog anterior: Seis semanas en Cumplimiento Contractual y Protección al Consumidor, informó a la comunidad de la ICANN sobre tres iniciativas del departamento de Cumplimiento Contractual. La entrada de blog de hoy es una actualización de dos de esas iniciativas: aumentar la transparencia entorno a las actividades de cumplimiento y el uso indebido de la infraestructura del Sistema de Nombres de Dominio (DNS).

Muchos de ustedes pueden haber visto algunas de las recientes mejoras en la transparencia. El Tablero de control mensual de Cumplimiento Contractual ahora incluye más información con respecto al informe del uso indebido del DNS relacionado con el Registrador que se ocupa de los reclamos, incluidos los informes sobre spam, pharming, phishing, malware y botnets. También incluye información sobre falsificación, preocupaciones farmacéuticas en línea, prácticas fraudulentas y engañosas, infracción de marcas registradas o derechos de autor, y reclamos sobre contactos de abuso de los Registradores.

La segunda iniciativa, que trata el uso indebido de la infraestructura del DNS, se lleva a cabo en un momento en el cual grandes sectores de la comunidad han expresado su preocupación por la prevalencia de este abuso y han cuestionado la predisposición y capacidad de la organización de la ICANN y de las partes contratadas para abordarlo. Por ejemplo, el Informe Final del Equipo de Revisión de Competencia, Confianza y Elección de los Consumidores incluye un largo capítulo sobre el uso indebido de la infraestructura del DNS e incluye varias recomendaciones relacionadas. El Comité Asesor Gubernamental (GAC) también ha expresado su preocupación sobre el uso indebido de la infraestructura del DNS en el Comunicado del GAC pronunciado en Copenhague y en otros lugares.

En Cumplimiento Contractual, estamos realizando auditorías que están específicamente enfocadas sobre el tema del uso indebido de la infraestructura del DNS. Hemos ampliado el alcance de las preguntas y las pruebas en nuestras auditorías a Registradores y Registros, enfocándonos en el proceso, los procedimientos y el manejo del uso indebido de la infraestructura del DNS. Las pruebas de auditoría revisadas se centran en examinar los informes de amenazas de seguridad, a fin de verificar que estén completos y compararlos con los informes públicamente disponibles.

Anteriormente, la ICANN incluyó las preguntas de auditoría ampliadas en la Auditoría de Registros de marzo de 2018   realizada sobre 20 dominios genéricos de alto nivel (gTLD). A través de esta auditoría, identificamos las acciones que los Registros y Registradores están tomando para abordar el uso indebido de la infraestructura del DNS. Las mismas incluyen el análisis frecuente de las amenazas de seguridad e informes de contención para futuras consultas. Estos informes identificaron dominios abusivos que también fueron identificados en informes de abuso públicamente disponibles (por ejemplo, MalwarePatrol, PhishTank, Spamhaus y SURBL) e incluyeron evidencia de acciones tomadas contra los dominios abusivos. La auditoría también mostró que hubo análisis e informes de seguridad incompletos para 13 dominios de alto nivel (TLD), así como una falta de procedimientos estandarizados o documentados para el manejo del uso indebido, así como medidas no tomadas respecto a amenazas identificadas. Estos 13 nuevos gTLD se volverán a probar en la próxima ronda.

Esta semana, la ICANN lanzó una auditoría enfocada en el uso indebido de la infraestructura del DNS para cerca de 1200 gTLDs, y realizó dos seminarios web de auditoría con los Registros a fin de abordar preguntas e inquietudes. Algunas de estas preocupaciones también fueron planteadas en un correo electrónico reciente del Grupo de Partes Interesadas de Registros (RySG) y fueron abordadas por el departamento de Cumplimiento Contractual. Por primera vez, y para ayudar a preparar la próxima auditoría, enviamos a los auditados la lista completa de los gTLD incluidos en la auditoría, y una lista proforma de preguntas y datos requeridos que se incluirán en la ronda de Auditoría de Registros de noviembre de 2018.  En referencia a otra primera vez, la ICANN está publicando esta información en el sitio web ICANN.org, en un esfuerzo por aumentar la transparencia.

La misión de la ICANN es garantizar la seguridad y la estabilidad del DNS. De acuerdo con nuestra misión, el equipo de Cumplimiento Contractual de la ICANN está ahora abordando el uso indebido de la infraestructura del DNS, mediante la realización de auditorías a Registros y Registradores. El propósito de estas auditorías es garantizar que las partes contratadas cumplan con sus obligaciones contractuales relativas al abuso de la infraestructura del DNS y a las amenazas de seguridad. Al finalizar las auditorías, el departamento de Cumplimiento Contractual de la ICANN publicará nuestros hallazgos y observaciones, incluidos ejemplos de estrategias y procesos destinados a mitigar el uso indebido de la infraestructura del DNS.

Si tienes alguna pregunta relacionada con las auditorías, comunícate con el departamento de Cumplimiento Contractual de la ICANN a través de complianceaudit@icann.org.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."