Skip to main content

Respuesta multifacética de la Organización de la ICANN al uso indebido del DNS

Si bien el informe de marzo del sistema de Informes de Actividades de Uso Indebido de Dominios de la ICANN muestra una reducción general de los nombres de dominio de gTLD de segundo nivel que se identifican como utilizados en phishing, distribución de software malicioso y comando y control de botnets, se ha informado ampliamente que los delincuentes están aprovechando la pandemia mundial de COVID-19 para iniciar campañas maliciosas en línea. También hubo una serie de informes sobre aumentos repentinos en el uso de nombres de dominio relacionados con la COVID-19 para el uso indebido del DNS.

La respuesta de la ICANN ante el uso indebido del DNS es siempre multifacética, y refleja la necesidad de abordar el uso indebido dentro de las limitaciones de los Estatutos y políticas de la ICANN, tal como las define la comunidad de la ICANN, y en el marco del cumplimiento de las leyes y requisitos normativos locales. En general, el departamento de Cumplimiento Contractual de la ICANN (Cumplimiento de la ICANN) exige el cumplimiento de las obligaciones contractuales establecidas en las políticas y acuerdos de la ICANN, incluidos el Acuerdo de Registro (RA) y el Acuerdo de Acreditación de Registradores (RAA), la Oficina del Director de Tecnologías (OCTO) proporciona conocimientos especializados en la materia y la División Global de Dominios (GDD) trabaja con las partes contratadas para ayudar a apoyar la prestación de servicios de registro y registradores conforme a las obligaciones contractuales y de políticas de consenso.

En el caso del uso indebido relacionado con la COVID-19, los mismos actores dentro de la organización de la ICANN han priorizado el manejo del uso indebido del DNS relacionado con la COVID-19 y trabajan con sus respectivas comunidades para ayudar a mitigar las nuevas amenazas. Estas amenazas incluyen el phishing, el correo electrónico corporativo comprometido, la distribución de software malicioso, las estafas y muchos otros tipos de ataques. En algunos casos, los delincuentes atraen a los usuarios de Internet para que entreguen sus credenciales de acceso e información confidencial con la promesa de que están comprando supuestas curas para la enfermedad del coronavirus y equipo de protección personal. En otros casos, los atacantes están difundiendo desinformación o infectando con malware los dispositivos de usuarios desprevenidos. Lamentablemente, muchas de estas actividades maliciosas utilizan o se aprovechan de los nombres de dominio y algunos miembros de la comunidad de Internet se preguntan razonablemente qué función desempeña la ICANN en el intento de poner fin a estos abusos.

Esfuerzos de la OCTO

Dentro de la OCTO, el equipo de Seguridad, Estabilidad y Resiliencia ha creado un sistema que ayuda a identificar los dominios abusivos que se aprovechan de la pandemia del coronavirus. Este sistema busca nombres de dominio similares o que incorporen términos como "coronavirus", "covid", "pandemia", "ncov", entre otros, y, una vez identificados, los evalúa frente a múltiples fuentes de inteligencia contra amenazas con un alto grado de confianza para determinar si están o no involucrados en la distribución de malware y/o phishing. De ser así, los nombres de dominio y los datos que recopila el sistema se compartirán con las partes que estén en condiciones de adoptar medidas, como los registradores, los registros y, en algunos casos, organismos nacionales e internacionales a cargo del cumplimiento de la ley. El sistema se está probando de forma interna para asegurar los más altos niveles de confianza a fin de evitar, en la mayor medida posible, falsos positivos y estamos trabajando con varios miembros de la comunidad para asegurarnos de que los informes que genere el sistema cumplan con sus requisitos de presentación de informes para que se puedan tomar las medidas apropiadas de manera oportuna.

Además de desarrollar esta nueva plataforma de análisis y presentación de informes, los miembros del equipo de la OCTO se incorporaron a la Coalición contra las Ciberamenazas de COVID-19 (CTC) y a la Liga de Inteligencia contra las Ciberamenazas de COVID-19 (Liga de CTI) junto con cientos de investigadores de empresas privadas y funcionarios de organismos encargados del cumplimiento de la ley de varios países. Estos grupos comparten información valiosa sobre las amenazas, que se centra en la respuesta a la pandemia en el ámbito cibernético. De manera similar al trabajo de la ICANN con la comunidad de respuesta a incidentes a través de su Foro de los Equipos de Respuesta a Incidentes y Seguridad (FIRST) y a través de nuestra participación con las comunidades de investigación de amenazas y seguridad operacional a través del Grupo de Trabajo Antiabuso de Mensajes, Malware y Móvil (M3AAWG), el Grupo de Trabajo Anti-Phishing (APWG) y la Alianza Nacional de Análisis Forense Cibernético y Capacitación (NCFTA), la ICANN contribuye principalmente con estos grupos proporcionando experiencia en la materia y facilitando la comunicación entre las diversas partes interesadas en la mitigación del uso indebido del DNS.

Esfuerzos de Cumplimiento de la ICANN

Como se mencionó anteriormente, el departamento de Cumplimiento de la ICANN exige el cumplimiento de las obligaciones contractuales establecidas en las políticas y acuerdos de la ICANN, incluidos el Acuerdo de Registro (RA) y el Acuerdo de Acreditación de Registradores (RAA). Cumplimiento de la ICANN también trabaja en estrecha colaboración con la OCTO para identificar las amenazas a la seguridad del DNS (phishing, distribución de malware y comando y control de botnets) y asociar esas amenazas con las partes contratadas patrocinadoras. Cumplimiento de la ICANN utiliza los datos recopilados en las auditorías (que se describen con más detalle a continuación) para evaluar si los registros y registradores cumplen sus obligaciones en materia de amenazas a la seguridad del DNS. Fuera de las auditorías, Cumplimiento de la ICANN aprovechará los datos recopilados por la OCTO, entre otros, para colaborar proactivamente con los registros y registradores responsables de una cantidad desproporcionada de amenazas a la seguridad del DNS. Cuando la participación constructiva fracase, Cumplimiento de la ICANN no dudará en tomar medidas de ejecución contra aquellos que se nieguen a cumplir con las obligaciones relacionadas con las amenazas a la seguridad del DNS.

En respuesta a la pandemia actual, Cumplimiento de la ICANN está examinando los reclamos relacionados con los términos de la pandemia de COVID-19 y está procesando estos reclamos con un nivel elevado de prioridad. Cabe destacar que nunca se ha otorgado, ni nunca se tuvo la intención de otorgar, a la organización de la ICANN, la autoridad para actuar como reguladora de los contenidos de Internet. A ese respecto, en cuanto a Cumplimiento de la ICANN, las cuestiones de contenido no deben confundirse con las obligaciones relacionadas con las amenazas a la seguridad del DNS incluidas en el RA y el RAA.

Cumplimiento de la ICANN dedica una cantidad considerable de tiempo y esfuerzo a ocuparse de las denuncias de uso indebido. Desde marzo de 2019 a marzo de 2020, Cumplimiento de la ICANN recibió más de 1500 reclamos por uso indebido. La mayoría de los reclamos se cerraron durante el proceso de resolución informal porque los registradores demostraron que cumplían con los requisitos del RAA que exigen tomar medidas para investigar y responder a las denuncias de uso indebido. De aquellos que no concluyeron en incumplimientos, aproximadamente el 10 % dio lugar a la suspensión de los nombres de dominio que se incluyeron en el reclamo presentado ante Cumplimiento de la ICANN.

Además, entre el 1.º de enero de 2014 y el 31 de enero de 2020, el departamento de Cumplimiento de la ICANN emitió 42 notificaciones de incumplimiento a los registradores, que incluían notificaciones por no haber publicado en el sitio web del registrador pertinente una dirección de correo electrónico para recibir informes de uso indebido, una descripción de los procedimientos del registrador para la recepción, tramitación y seguimiento de los informes de uso indebido, o ambas. Para resolver estas notificaciones de incumplimiento, el departamento de Cumplimiento de la ICANN emitió además:

  • Cinco notificaciones de cancelación de la acreditación de registrador.
  • Un registrador canceló voluntariamente su acreditación al recibir la notificación de incumplimiento.
  • Cinco notificaciones de suspensión de la acreditación de registrador.

Los siguientes son ejemplos de las disposiciones relacionadas con el uso indebido impuestas por Cumplimiento de la ICANN:

  • Los operadores de registro tienen la obligación de incluir una disposición en su acuerdo con los registradores, para que los acuerdos de los registradores con los registratarios prohíban a que los registratarios participen en determinadas actividades, y exigir consecuencias para los registratarios por dichas actividades, incluida la suspensión del dominio. Cumplimiento de la ICANN puede tomar, y de hecho toma, medidas directas de ejecución contra los operadores de registro que no incluyan la disposición requerida en sus acuerdos con los registradores (Acuerdo de Registro Base, especificación 11 3(a)).
  • Se exige a los operadores de registros que lleven a cabo de forma periódica un análisis técnico, a fin de evaluar si los dominios en sus gTLD están siendo utilizados para perpetrar amenazas en contra de la seguridad, tales como: pharming, phishing, malware y uso de botnets. Asimismo, los operadores de registro deben mantener informes estadísticos sobre la cantidad de amenazas a la seguridad identificadas, incluidas las medidas adoptadas como resultado de las comprobaciones periódicas de seguridad durante la vigencia del Acuerdo, y proporcionar copias de esos informes a la ICANN cuando lo solicite (Acuerdo de Registro Base, especificación 11 3(b)).
  • En virtud de la sección 3.18 del RAA, se exige a los registradores lo siguiente:

    • Adoptar medidas razonables y acciones oportunas para investigar y responder adecuadamente a los informes de uso indebido.
    • Examinar las denuncias fundamentadas de actividad ilegal (según la definición del RAA) que presenten las autoridades encargadas del cumplimiento de la ley, protección al consumidor, cuasi gubernamentales u otras similares.
    • Mostrar públicamente la información de contacto de uso indebido y los procedimientos de tramitación de informes de uso indebido para que los usuarios sepan cómo presentar los informes sobre uso indebido al registrador y cómo se abordarán esos informes.
  • Al investigar reclamos válidos de uso indebido, Cumplimiento de la ICANN exige a los registradores que expliquen cómo investigaron y respondieron a los informes de uso indebido y que proporcionen un enlace o una copia de las políticas de uso y abuso de nombres de dominio del registrador que respalden el manejo del informe de uso indebido específico por parte del registrador.
  • El Programa de Auditoría de Cumplimiento Contractual de la ICANN aborda el uso indebido en algunas de las preguntas que formula habitualmente tanto a los registros como a los registradores, para determinar si cumplen con las disposiciones que pueden ayudar a abordar las diferentes formas de uso indebido. Cumplimiento de la ICANN también ha centrado sus recientes auditorías en el uso indebido del DNS.
  • El año pasado, Cumplimiento de la ICANN realizó una Auditoría de operadores de registro para abordar las amenazas a la seguridad del DNS. La auditoría evaluó el cumplimiento por parte de los registros de las obligaciones contractuales, incluida la especificación 11 3(b) del RA Base (descrita anteriormente). Cumplimiento de la ICANN llevará a cabo una auditoría de sus registradores acreditados para evaluar el cumplimiento de sus obligaciones en materia de amenazas a la seguridad del DNS. En la realización de estas auditorías, Cumplimiento de la ICANN se basa en los conocimientos técnicos desarrollados por la OCTO para identificar las amenazas a la seguridad del DNS y asociarlas a las partes contratadas patrocinadoras.

Cumplimiento de la ICANN insta a las partes que se encuentren con nombres de dominio que parezcan ser utilizados para perpetrar actos de uso indebido del DNS, en particular en relación con la COVID-19, a que los denuncien ante el registro y registrador correspondientes y a que presenten reclamos ante Cumplimiento de la ICANN si consideran que las partes contratadas no han abordado adecuadamente su denuncia de uso indebido de manera oportuna y razonable. Cumplimiento de la ICANN alienta a quienes denuncien usos indebidos del DNS a los registradores a revisar las directrices publicadas por el Grupo de Partes Interesadas de Registradores.

Esfuerzos de la GDD

La División Global de Dominios (GDD) mantiene una relación comercial con los registros de gTLD y los registradores acreditados de la ICANN y presta servicios para apoyarlos en el cumplimiento de sus obligaciones contractuales. A través de estas relaciones de colaboración, la GDD ayuda a combatir las amenazas a la seguridad del DNS y otras formas de uso indebido del DNS, conectando y coordinando las actividades dentro de las partes contratadas para varias partes de la comunidad y la organización de la ICANN.

A principios de este mes, envié un correo electrónico a los registros y registradores de gTLD para agradecerles sus acciones y esfuerzos dirigidos a ayudar a mitigar y minimizar los nombres de dominio abusivos que se están utilizando para aprovecharse maliciosamente de la pandemia de coronavirus. El Grupo de Partes Interesadas de Registradores ha publicado recientemente una guía de mucha utilidad, titulada "Enfoques de los registradores para abordar la crisis de COVID-19", que ofrece una serie de pasos y recursos que la comunidad de registradores puede utilizar en sus esfuerzos.

La GDD está vigilando de cerca el uso indebido relacionado con la COVID-19 y su impacto en la industria de los dominios. En relación con esto específicamente, el equipo de GDD proporcionó recientemente orientación sobre la forma en que los registradores pueden proteger a los registratarios que puedan tener dificultades para renovar sus nombres de dominio de manera oportuna. La GDD ha solicitado que se lleven a cabo nuevas conversaciones con los representantes de las partes contratadas para lograr una mejor comprensión, combate y mitigación de los problemas a los que se enfrentan tanto las partes contratadas como los registratarios y para desarrollar ideas para posibles soluciones.

Prospección

La lucha contra el uso indebido requiere un acceso previsible y confiable a los datos de registración de nombres de dominio para quienes tengan un interés legítimo. La organización de la ICANN sigue tratando de aclarar, en el marco del Reglamento General de Protección de Datos de la Unión Europea, si la legislación de la UE permite un Modelo de Acceso Unificado para los datos de registración de los nombres de dominio gTLD. El acceso a estos datos de registración es fundamental para que los encargados del cumplimiento de la ley y los profesionales de la seguridad puedan proteger a los usuarios de Internet de los delincuentes que se aprovechan de la pandemia de COVID-19, o cualquier otra amenaza que surja, para realizar actividades fraudulentas y delictivas. La comunidad de la ICANN, a través del trabajo del Proceso Expeditivo de Desarrollo de Políticas (EPDP) sobre la Especificación Temporaria para los Datos de Registración de los gTLD, ha dedicado una enorme cantidad de tiempo y esfuerzo para definir los elementos de un modelo de acceso centralizado. La organización de la ICANN y otros actores han dedicado también un esfuerzo considerable a solicitar orientación del Comité Europeo de Protección de Datos sobre si ese modelo puede proporcionar un acceso eficiente a los datos de registración conforme al GDPR y, en caso afirmativo, de qué manera puede hacerlo. Hasta la fecha, la comunidad de la ICANN no ha recibido la orientación solicitada.

La organización de la ICANN seguirá evaluando los métodos y herramientas adicionales necesarios para garantizar un DNS estable y seguro para todos los usuarios de Internet. Por favor, recuerde tomar las medidas necesarias para proteger sus sistemas y mantenerse alerta para protegerse de posibles actividades maliciosas. Las prácticas estándar de "higiene digital", como no hacer clic en los enlaces de correos electrónicos no solicitados, verificar que las direcciones de correo electrónico en la sección "De:" corresponden a los remitentes previstos, desconfiar de los correos electrónicos que contienen errores tipográficos o gramática extraña, no proporcionar nunca credenciales de ningún tipo en respuesta a correos electrónicos o enlaces contenidos en ellos, ser escéptico ante las afirmaciones que se realizan en correos electrónicos no solicitados, etc., pueden contribuir en gran medida a reducir la probabilidad de ser víctima de los atacantes que se aprovechan del DNS para cometer abusos.

La salud y la seguridad de la comunidad es una de las principales prioridades de la organización de la ICANN. Por favor, manténgase a salvo en línea y fuera de línea para ayudar a frenar la propagación de la COVID-19 y los esfuerzos de los delincuentes para aprovecharse de una pandemia global.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."