Skip to main content

Mejores prácticas para el registro y la administración de portfolios de nombres de dominio (Parte II)

Siguiendo con nuestra serie sobre mejores prácticas para administrar registraciones de dominio (puede leer la primera publicación aquí), me gustaría ofrecer algunos conocimientos sobre las prácticas de registraciones de dominios de grandes organizaciones. En general, exhiben características positivas; proporcionan direcciones de correo electrónico válidas para sus contactos del WHOIS, configuran servicios de resolución de nombres flexibles y utilizan códigos de estado de EPP para mitigar el secuestro de nombres de dominio.

Muchas organizaciones y entidades gubernamentales siguen prácticas y recomendaciones relativas a la registración tales como aquellas descriptas en documentos publicados por el Comité Asesor de Seguridad y Estabilidad de la ICANN (SSAC), tales como SAC044 y SAC040, a fin de mitigar el riesgo de que sus nombres de dominio sean explotados o usados indebidamente.

Sin embargo, también es justo decir que los esfuerzos de mitigación para ciertos riesgos no siempre están presentes. Las organizaciones deberían conocer los riesgos que sus nombres de dominio enfrentan y ajustar sus prácticas de registración existentes para ofrecer un entorno más seguro para sus propias empresas, así como una experiencia en línea más segura y estable para sus clientes. Alentamos a ellos a revisar periódicamente sus registraciones de dominio e incluir la administración de nombres de dominio y del DNS en general dentro de sus programas de gestión de riesgos.

En esta publicación, haremos referencia a mejores prácticas relacionadas con quien debería y no debería ser el registratario real y el contacto administrativo.

¿Quién es el registratario real?

Actual Registrant

Todo nombre de dominio está registrado de conformidad con un acuerdo de registro entre un registratario y un registrador patrocinador. En esta captura de pantalla, se pueden observar dos campos que identifican quién es el registratario según se enlistan en la salida del WHOIS de icann.org del nombre de dominio.

En relación a las registraciones corporativas, si el campo Organización del registratario enlista el nombre de una entidad jurídica existente, esa entidad jurídica será considerada el registratario del nombre de dominio. Sin embargo, cuando el campo Organización del registratario está vacío, o cuando el nombre enlistado en el mismo no corresponde a una entidad jurídica real (como ‘Administrador de dominio’, por ejemplo), el registratario real será quienquiera esté enlistado en el campo Nombre del registratario.

Esta situación sucede a veces cuando los empleados registran nombres para sus empleadores y no incluyen la información adecuada en los campos correspondientes. Pueden dejar en blanco el campo Organización del registratario o incluir el nombre de su departamento y su propio nombre en el campo reservado para Nombre del registratario, lo que los convierte en registratarios reales de los dominios de su compañía. En estos casos, las organizaciones se enfrentan al riesgo de que sus empleados disputen las registraciones, quienes pueden alegar los derechos a los dominios e intentar transferirlos, sobre la base de que la organización específica no es una parte del acuerdo entre el registrador y el registratario.

Con este riesgo en mente, como mejor práctica, las organizaciones deberían asegurarse de que su nombre legal esté enlistado en el campo Organización del registratario y que un nombre basado en departamento o en rol esté enlistado en el campo Nombre del registratario.

Tercero registratario o contacto administrativo.

Por otro lado, y deseo señalar muy claramente que esto NO constituye un asesoramiento legal (siempre debe solicitar asesoramiento legal adecuado al redactar o revisar contratos), las organizaciones a veces permiten que terceros, como su proveedor de alojamiento web, desarrollador web o estudio jurídico, sean enlistados como el registratario de sus dominios. Esto generalmente no es considerado como mejor práctica. Cuando una organización terceriza la administración de su portfolio de dominios, idealmente debería aun estar enlistada como el registratario del dominio, independientemente de si el administrador del portfolio está enlistado como el contacto técnico, administrativo o de facturación del dominio.

Permitir que un tercero sea el registratario de los dominios de una organización implica que la organización NO será el registratario oficial. Esto podría permitir que el tercero objete la registración en cuanto a la transferencia de los dominios a un registrador diferente y privar a la organización y sus empleados, clientes y socios comerciales del uso de los dominios – al menos hasta que la organización contrate un asesor legal, pague los honorarios legales, inicie los procedimientos correspondientes, ya sean administrativos, tales como un UDRP o URS, o judiciales en la jurisdicción competente. E incluso después de todo eso, no hay garantía alguna de que la organización tenga éxito en los procedimientos.

Ahora, con respecto a hacer que el administrador del portfolio esté enlistado como el contacto técnico o administrativo, una mejor práctica es establecer una relación contractual (independiente) entre la organización y ese tercero (recuerde que esto es una descripción de una mejor práctica, NO un asesoramiento legal). Desde un punto de vista técnico y de operaciones de seguridad, una mejor práctica es incluir disposiciones en el contrato que asignen la autoridad de administrar el nombre de dominio, incluida la capacidad de, por ejemplo, transferir el nombre de dominio a otro registrador según las instrucciones de la organización, renovar o permitir que el dominio venza, cambiar los registros del servidor de nombres, establecer el estado del dominio o modificar los datos de contacto. Dicho contrato también puede especificar las circunstancias bajo las cuales el contacto técnico o administrativo tendría el permiso o la obligación de modificar cualquier aspecto de la registración o la operación del nombre de dominio.

Parte de esta mejor práctica incluye agregar disposiciones en ese acuerdo que proporcionen las medidas operativas que el contacto administrativo y el contacto técnico deberían implementar o ejecutar a fin de proteger los nombres de dominio de la organización, incluidas aquellas que se consideren adecuadas en respuesta a incidentes de seguridad, como ataques de Denegación de Servicio Distribuido contra los servidores de nombres del dominio, afectación del servidor que conduzca a contenido alojado sin la autorización del registratario, creación no autorizada de subdominios, o incluso la modificación o adición no autorizada de registros de zona. Estas medidas operativas pueden incluir, por ejemplo, presentar informes ante el registrador o la agencia del orden público correspondiente en las jurisdicciones competentes. Por último, como sucede con todo contrato, también puede definir las sanciones para las situaciones en las que la parte enlistada como contacto técnico o administrativo infrinja sus obligaciones respecto de la administración de los nombres de dominio.

Una vez más, esta sección no constituye asesoramiento legal, por lo que depende de usted solicitar asesoramiento legal mientras considera formas para abordar estas mejores prácticas desde los puntos de vista contractual, técnico y operativo.

En futuras publicaciones, haremos referencia a mejores prácticas relacionadas con los códigos de estado de EPP (¿qué es un código de estado de EPP?), servidores de nombres y otros aspectos para tener en cuenta al administrar registraciones de dominios.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."