Skip to main content

Respuesta multifuncional de la organización de la ICANN al uso indebido del DNS

Si bien el reporte del sistema de Informe de Actividades de Uso Indebido de Dominios del mes de marzo muestra una reducción general en la cantidad de nombres de dominio en el segundo nivel de los gTLD destinados a phishing, distribución de malware, y comando y control de botnets, se han registrado informes generalizados acerca de delincuentes que aprovechan la pandemia mundial de COVID-19 para lanzar campañas de ataques maliciosos. También se ha informado en numerosas oportunidades acerca del crecimiento vertiginoso en el uso nombres de dominio relacionados con el COVID-19 en instancias de uso indebido del DNS.

La ICANN siempre responde al uso indebido del DNS con un enfoque multifuncional que obedece a la necesidad de abordar dicho uso indebido en el marco de los Estatutos de la ICANN y de las políticas definidas por su comunidad, a la vez que cumple con la legislación y normativa a nivel local. Por lo general, el equipo de Cumplimiento Contractual de la ICANN se encarga de exigir el cumplimiento efectivo de las obligaciones contractuales plasmadas en las políticas y los acuerdos de la ICANN, dentro de los cuales se incluyen el Acuerdo de Registro (RA) y el Acuerdo de Acreditación de Registradores (RAA). Por su parte, la Oficina del Director de Tecnologías (OCTO) aporta su conocimiento especializado en la materia, y la División Global de Dominios (GDD) trabaja con las partes contratadas para asistirlas en la prestación de sus servicios en calidad de registradores y registros de conformidad con obligaciones contractuales y emanadas de las correspondientes políticas de consenso.

Ante las instancias de uso indebido relacionadas con el COVID-19, estos actores dentro de la organización de la ICANN han priorizado el abordaje del uso indebido del DNS en relación al COVID-19 mediante el trabajo conjunto con sus respectivas comunidades para ayudar a contrarrestar estas nuevas amenazas. Estas amenazas comprenden phishing, ataques que comprometen cuentas de correo electrónico corporativo, distribución de malware, estafas y una gran cantidad de diversas actividades maliciosas. En algunos casos, los delincuentes engañan a los usuarios de Internet, quienes les brindan sus contraseñas e información confidencial porque creen estar comprando equipo de protección personal o una supuesta cura para el coronavirus. En otros casos, los atacantes diseminan información o infectan con malware los dispositivos de usuarios inocentes. Lamentablemente, quienes llevan a cabo estas acciones maliciosas usan o se sirven de nombres de dominio en la mayoría de los casos, y es de esperar que parte de la comunidad de Internet quiera saber cuál es el rol de la ICANN para contrarrestar estas instancias de uso indebido.

Acciones de la OCTO

El equipo de Seguridad, Estabilidad y Flexibilidad de la OCTO ha desarrollado un sistema que ayuda a detectar aquellos dominios que se sirven de la pandemia de coronavirus para la concreción de acciones maliciosas. Este sistema busca nombres de dominio que guardan una similitud con términos como "coronavirus", "covid", "pandemic" (pandemia) y "ncov" (nCOV), o bien los incorporan a su nombre. Una vez que el sistema detecta estos nombres de dominio, los evalúa con múltiples fuentes de inteligencia sobre amenazas que tienen un alto grado de confiabilidad y determina si están implicados en phishing y/o distribución de malware. En ese caso, los nombres de dominio y datos obtenidos por el sistema se compartirán con los actores con capacidad de acción al respecto, como registradores y registros, y en algunos casos con organizaciones nacionales e internacionales de orden público. El sistema está en su etapa de prueba para garantizar los más altos niveles de confianza y así evitar falsos positivos siempre que sea posible. Estamos trabajando con un grupo de miembros de la comunidad para asegurarnos de que los informes que genera el sistema cumplan con sus propios requisitos para la presentación de informes, de manera tal que puedan tomar las medidas necesarias en forma oportuna.

Además de desarrollar esta nueva plataforma de análisis y generación de informes, algunos miembros del equipo de la OCTO se sumaron a la Coalición contra las Ciberamenazas por COVID-19 (CTC) y la Liga de Inteligencia contra las Ciberamenazas por COVID-19 (Liga CTI) junto a centenares de investigadores de empresas privadas y funcionarios del orden público de diversos países. Estos grupos comparten información valiosa acerca de amenazas, con eje en la respuesta a la pandemia en el entorno cibernético. Al igual que lo hace cuando trabaja con la comunidad de respuesta ante incidentes en su Foro de los Equipos de Respuesta a Incidentes y Seguridad (FIRST) y al interactuar con las comunidades dedicadas a la investigación de amenazas y la seguridad operativa en el Grupo de Trabajo Anti-Abuso de Mensajes, Malware y Móviles(M3AAWG), el Grupo de Trabajo Anti-Phishing (APWG) y la Alianza Nacional de Investigación Cibernética Forense y Capacitación (NCFTA), la ICANN colabora con estos grupos principalmente mediante el aporte de conocimiento especializado y la facilitación de la comunicación entre diversas partes interesadas en mitigar el uso indebido del DNS.

Acciones del equipo de Cumplimiento Contractual de la ICANN

Como se indicara previamente, el equipo de Cumplimiento Contractual de la ICANN se encarga de exigir el cumplimiento efectivo de las obligaciones contractuales establecidas en las políticas y los acuerdos de la ICANN, los cuales comprenden el Acuerdo de Registro (RA) y el Acuerdo de Acreditación de Registradores (RAA). El equipo de Cumplimiento Contractual también trabaja en estrecha colaboración con la OCTO para detectar amenazas a la seguridad (phishing, distribución de malware, y comando y control de botnets) y relacionar dichas amenazas con las partes contratadas que las promueven. El equipo de Cumplimiento Contractual utiliza los datos recopilados en sus auditorías (detalladas a continuación) para evaluar si los registros y registradores cumplen con sus obligaciones de contrarrestar amenazas a la seguridad del DNS. Además de los datos obtenidos en sus auditorías, el equipo de Cumplimiento Contractual de la ICANN utiliza los datos recopilados por la OCTO y otros actores para interactuar en forma proactiva con los registros y registradores responsables de una cantidad desproporcionada de amenazas a la seguridad del DNS. Si esta instancia de interacción constructiva no da resultados, el equipo de Cumplimiento Contractual de la ICANN no dudará en iniciar acciones para exigir el cumplimiento efectivo por parte de quienes se niegan a cumplir con sus obligaciones de contrarrestar las amenazas a la seguridad del DNS.

En respuesta a la pandemia actual, el equipo de Cumplimiento Contractual está analizando los reclamos que recibe para detectar aquellos que hacen referencia a términos relacionados con la pandemia de COVID-19 y los está procesando con carácter sumamente prioritario. Es importante señalar que la organización de la ICANN nunca tuvo la autoridad conferida para ejercer como ente regulador del contenido en Internet, ni tampoco fue concebida para que se le confiriese esta autoridad. En tal sentido, en lo que respecta al equipo de Cumplimiento Contractual, las cuestiones en materia de contenido no deben confundirse con las obligaciones en materia de amenazas a la seguridad del DNS contenidas en el RA y el RAA.

El equipo de Cumplimiento Contractual dedica tiempo y esfuerzo considerables a la gestión de reclamos por uso indebido. Entre marzo de 2019 y marzo de 2020, el equipo de Cumplimiento Contractual recibió más de 1500 reclamos por uso indebido. En la mayoría de los casos, los reclamos se cerraron durante el proceso de resolución informal, dado que los registradores demostraron cumplir con los requisitos del RAA y tomaron medidas para investigar los informes de uso indebido y dar una respuesta. De los reclamos que no resultaron en una instancia de incumplimiento, aproximadamente el 10 % derivó en la suspensión de los nombres de dominio incluidos en el reclamo cursado ante el equipo de Cumplimiento Contractual.

Además, entre el 1 de enero de 2014 y el 31 de enero de 2020, el equipo de Cumplimiento Contractual emitió 42 notificaciones de incumplimiento dirigidas a registradores, las cuales incluyeron notificaciones a los registradores pertinentes por no publicar una dirección de correo electrónico para la recepción de informes de uso indebido; no publicar una descripción de sus procedimientos para recibir, procesar y monitorear informes de uso indebido; o ambas. Al resolver estas notificaciones de incumplimiento, el equipo de Cumplimiento Contractual también emitió las siguientes notificaciones:

  • Cinco notificaciones de rescisión de acreditación dirigidas a registradores;
  • Un registrador rescindió voluntariamente su acreditación al recibir la notificación de incumplimiento;
  • Cuatro notificaciones de suspensión de acreditación dirigidas a registradores.

A continuación, se incluyen ejemplos de disposiciones sobre uso indebido cuyo cumplimiento efectivo le compete al equipo de Cumplimiento Contractual:

  • Los operadores de registro tienen la obligación de incluir una disposición en sus acuerdos con los registradores, en virtud de la cual los acuerdos entre registradores y registratarios establecen la prohibición de que los registratarios participen en determinadas actividades; asimismo, se deben indicar las consecuencias de realizar tales actividades para los registratarios, las cuales contemplan la suspensión del dominio correspondiente. El equipo de Cumplimiento Contractual de la ICANN tiene y ejerce la facultad de implementar medidas de ejecución contra los operadores de registro que no incluyen la disposición obligatoria en sus acuerdos con los registradores (Acuerdo Base de Registro, especificación 11.3 (a)).
  • Periódicamente, los operadores de registro llevarán a cabo un análisis técnico, a fin de evaluar si los dominios en su TLD están siendo utilizados para perpetrar amenazas en contra de la seguridad, tales como pharming, phishing, malware y uso de botnets. Asimismo, los operadores de registro deben confeccionar informes estadísticos de la cantidad de amenazas a la seguridad detectadas. Dichos informes estadísticos deben incluir las acciones implementadas como resultado de los controles periódicos de seguridad durante el plazo de vigencia del acuerdo. Los operadores de registro deben presentar copias de estos informes ante la ICANN a solicitud de la esta última (Acuerdo de Registro, especificación 11. 3 (b)).
  • De conformidad con la sección 3.18 del RAA, los registradores tienen las siguientes obligaciones:

    • Adoptar las medidas razonables y expeditivas para investigar y responder apropiadamente los informes de uso indebido;
    • Analizar los informes de Actividad Ilegal (según la definición del RAA) debidamente fundados y presentados por organismos de cumplimiento de la ley, organismos de protección al consumidor, agencias cuasigubernamentales o entidades similares; y
    • Publicar abiertamente la información de contacto para informar instancias de uso indebido y los procedimientos de gestión de los informes de uso indebido, de modo tal que los usuarios sepan cómo presentarles estos informes y la manera en que se los gestionará.
  • Al investigar reclamos válidos por uso indebido, el equipo de Cumplimiento Contractual requiere que los registradores expliquen el procedimiento que siguieron para investigar y responder a los informes de uso indebido. Asimismo, los registradores deben proporcionar un enlace para acceder a sus políticas sobre uso de nombres de dominio e instancias de uso indebido, o bien una copia de dichas políticas, como fundamento de la gestión del informe de uso indebido correspondiente.
  • El Programa de Auditorías de Cumplimiento Contractual contempla el uso indebido en las preguntas que usualmente responden los registros y registradores para determinar si cumplen con las disposiciones conducentes a contrarrestar distintos tipos de uso indebido. En sus auditorías recientes, el equipo de Cumplimiento Contractual también hizo hincapié en el uso indebido del DNS.
  • El año pasado, el equipo de Cumplimiento Contractual llevó a cabo una auditoría a los operadores de registro para gestionar las amenazas de seguridad en el DNS. En la auditoría, se evaluó si los operadores de registro cumplen con las obligaciones contractuales, incluida la especificación 11. 3(b) del RA que se describió anteriormente. El equipo de Cumplimiento Contractual de la ICANN auditará a sus registradores acreditados para evaluar si cumplen con sus obligaciones de contrarrestar amenazas a la seguridad del DNS. Al llevar adelante estas auditorías, el equipo de Cumplimiento Contractual se apoya en el conocimiento especializado de la OCTO para detectar amenazas a la seguridad del DNS y relacionarlas con las partes contratadas que las promueven.

El equipo de Cumplimiento Contractual insta a quienes detecten nombres de dominio que podrían estar perpetrando el uso indebido del DNS, sobre todo aquellos relacionados con el COVID-19, a que informen estas instancias al registro o registrador correspondiente y presenten reclamos al equipo de Cumplimiento Contractual de la ICANN si consideran que las partes contratadas no gestionaron adecuadamente su informe de uso indebido en tiempo y forma. El equipo de Cumplimiento Contractual recomienda que quienes informen instancias de uso indebido a los registradores consulten las pautas publicadas por el Grupo de Partes Interesadas de Registradores.

Acciones de la GDD

La División Global de Dominios (GDD) mantiene el vínculo comercial con los registros de gTLD y los registradores acreditados por la ICANN, a la vez que les brinda servicios de apoyo que les facilitan el cumplimiento de sus obligaciones contractuales. Mediante estos vínculos de colaboración, la GDD ayuda a contrarrestar las amenazas a la seguridad del DNS y otras modalidades de uso indebido, ya que amalgama y coordina las actividades de las partes contratadas con distintos sectores de la organización y la comunidad de la ICANN.

A principios de este mes, les envié un correo electrónico a los registros y registradores en agradecimiento por sus iniciativas y acciones para ayudar a mitigar y minimizar el uso indebido de nombres de dominio para sacar provecho de la pandemia de coronavirus. El Grupo de Partes Interesadas de Registradores publicó una guía denominada "Enfoques de los Registradores ante la Crisis de COVID-19" en la cual se indica una serie de medidas y recursos de utilidad para las iniciativas de la comunidad de registradores.

La GDD está siguiendo atentamente las instancias de uso indebido en relación al COVID-19 y su impacto en la industria de nombres de dominio. Específicamente, el equipo de la GDD recientemente proporcionó pautas acerca de cómo los registradores pueden proteger a los registratarios que puedan enfrentar dificultades para renovar sus nombres de dominio de manera oportuna. La GDD solicitó continuar dialogando con los representantes de las partes contratadas para poder comprender, contrarrestar y mitigar mejor los problemas que enfrentan tanto las partes contratadas como los registratarios y así generar ideas para desarrollar posibles soluciones.

Próximos pasos

Para contrarrestar el uso indebido, es necesario que quienes tengan un interés legítimo puedan acceder en forma predecible y confiable a los datos de registración de nombres de dominio. La organización de la ICANN continúa trabajando en pos de comprender en qué medida un Modelo de Acceso Unificado a los datos de registración de nombres de dominio en los gTLD es posible en el marco del Reglamento General de Protección de Datos y la legislación de la Unión Europea. El acceso a estos datos de registración es fundamental para que los organismos de cumplimiento de la ley y los expertos en seguridad puedan proteger a los usuarios de Internet de los delincuentes que aprovechan la pandemia de COVID-19, o toda amenaza que pueda surgir, para cometer actos fraudulentos e ilícitos. La comunidad de la ICANN, mediante la labor del grupo responsable del Proceso Expeditivo de Desarrollo de Políticas (EPDP) sobre la Especificación Temporaria para los Datos de Registración de los gTLD, ha dedicado tiempo y esfuerzo considerables a la definición de los elementos de un modelo de acceso centralizado. Junto a otros actores, la organización de la ICANN también realizó un esfuerzo considerable al procurar la orientación del Comité Europeo de Protección de Datos para determinar si dicho modelo puede garantizar un acceso efectivo a los datos de registración en cumplimiento con el GDPR y, en ese caso, de qué manera. Al día de hoy, la comunidad de la ICANN no ha recibido la orientación solicitada.

La organización de la ICANN continuará evaluando otras herramientas y métodos necesarios para garantizar que todos los usuarios de Internet cuenten con un DNS estable y seguro. Les recordamos que tomen las medidas necesarias para resguardar sus sistemas y tengan la precaución de protegerse de posibles actividades maliciosas. Las prácticas usuales de "higiene cibernética" como no hacer clic sobre enlaces de correos electrónicos no deseados, verificar que la dirección del remitente sea la de la persona correspondiente, estar alertas ante correos electrónicos con errores ortográficos o gramaticales, nunca brindar nuestras contraseñas en respuesta a un correo electrónico o un enlace contenido en un correo electrónico, desconfiar del contenido de los correos electrónicos no deseados, etc. pueden ser de gran ayuda para reducir la probabilidad de ser víctimas de atacantes que hacen uso indebido del DNS.

Proteger la salud y la seguridad de la comunidad es una prioridad primordial para la organización de la ICANN. Es importante que se cuiden, dentro y fuera del entorno digital, para ayudar a retrasar la propagación del COVID-19 y contrarrestar los esfuerzos de los delincuentes que sacan provecho de una pandemia mundial.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."