Skip to main content

Mejores prácticas para el registro y la administración de portfolios de nombres de dominio (Parte I)

Good practices dns 492x280 30may17 es

Siempre es sabio recordar mejores prácticas relacionadas con el registro y la administración de nombres de dominio, en especial, al hacer referencia a los portfolios con decenas o cientos de nombres de dominio. Las mejores prácticas permiten que las empresas realicen sus operaciones en línea sin interrupciones e impiden, por ejemplo, que pierdan sus nombres de dominio debido a su vencimiento o al secuestro de ellos. Por otro lado, las prácticas deficientes pueden generar interrupciones en el negocio, pérdida de confianza de los clientes y daño a las reputaciones, entre otras consecuencias negativas.

Esta publicación de blog, la primera de una serie, abarca tres mejores prácticas – y más se incluirán en futuras publicaciones. Comencemos.

Mantenga su información de registro actualizada

Al momento de crear cada nombre de dominio, el registratario brinda detalles de contacto al registrador. Esta información entonces se pone a disposición del público a través del servicio de WHOIS, lo que permite a las empresas ser contactadas debido a una amplia variedad de motivos – incluyendo cuestiones técnicas u operativas asociadas con el dominio, interés en el contenido publicado en el sitio web asociado y preocupaciones por la seguridad.

Las empresas deberían asegurarse de que los datos de contacto tal como se muestran en el WHOIS sean precisos y estén actualizados. Información incorrecta u obsoleta puede impedir que los investigadores de seguridad se contacten con los registratarios cuyos dominios puedan verse comprometidos, o que posibles socios comerciales establezcan un contacto que pudiera generar una nueva oportunidad comercial.

No use direcciones de correo electrónico personales

Las empresas no deberían permitir el uso de direcciones de correo electrónico personales en los datos de registro de sus nombres de dominio corporativos. Esta recomendación incluye direcciones de correo electrónico que los empleados usan fuera del trabajo y direcciones de correo electrónico que identifiquen individuos de la organización. Ambas pueden dejar a una empresa vulnerable.

  • No permita el uso de direcciones de correo electrónico personales, tales como juanperez@gmail.com o juanaperez@hotmail.com.

    Las direcciones de correo electrónico enumeradas para el registratario y el contacto administrativo de un nombre de dominio son claves para su administración. Cuando se enumeran direcciones de correo electrónico personales de los empleados, nada impide que el dominio sea secuestrado cuando dejan de trabajar en la empresa.

  • Use direcciones de correo electrónico genéricas basadas en departamentos o roles, tales como admin_dominio@nombreempresa123.com, en lugar de direcciones de correo electrónico con nombres de personas, tales como j.perez@nombreempresa123.com.

    El suministro de nombres de individuos que participan en la administración de nombres de dominio corporativos los expone a un mayor riesgo de ingeniería social y ataques de phishing puntuales dirigidos a la empresa. En cambio, use nombres basados en departamentos o roles, idealmente en los que varios usuarios reciben comunicaciones que se envían a esa dirección.

Evite tener nombres de dominio en bailía (In-Bailiwick)

Bailía es la situación que existe cuando una empresa registra el dominio ejemplo.com y luego enumera las direcciones de correo electrónico usuario1@ejemplo.com y usuario2@ejemplo.com en la base de datos del WHOIS.

Los ataques que ganan el control de la administración de un nombre de dominio en la bailía pueden redireccionar correo electrónico reemplazando los servidores de nombres legítimos por servidores de nombres que ellos operan. Luego, pueden agregar un registro MX que direcciona el correo electrónico a un servidor de correo también operado por ellos. O pueden desactivar el correo electrónico completamente mediante la eliminación del registro MX del dominio, en cuyo caso no será enviado ningún correo electrónico a la empresa que registró el dominio afectado ni será recibido ningún correo electrónico por dicha empresa.

Una capa adicional de dificultad se agrega cuando el registrador no puede comunicarse con la empresa afectada, ya que no tiene acceso a su correo electrónico corporativo. Esta situación requiere comunicación fuera de banda y prueba al registrador de que la empresa es realmente el registratario afectado.

Esté atento a futuras publicaciones en las cuales le brindaré otras mejores prácticas a seguir.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."