28-09-2018
La Corporación de Internet para la Asignación de Nombres y Números (ICANN, por su sigla en inglés), ha anunciado sobre fallos posibles fallos “menores” en el funcionamiento de la red de redes. ¿El motivo? Bien técnico: el cambio de las claves criptográficas que ayudan a proteger el sistema de nombres de dominio (DNS, en inglés).
Esta institución sin fines de lucro creada en 1998 para asignar las direcciones del protocolo IP, los identificadores de protocolo, las funciones de gestión del sistema de dominio y de la administración del sistema de servidores raíz.
El proceso en cuestión es el traspaso de la clave para la firma de la llave de la zona raíz (KSK) y está programado para el próximo 11 de octubre. Si bien ICANN no espera mayores inconvenientes, reconoció que puede generar “problemas menores” para un “pequeño porcentaje de usuarios”. ¿Qué tipo de inconvenientes? Hablando en criollo, los usuarios podrían tener problemas para llegar a los sitios que desean visitar.
Según la entidad, algunos “resolutores recursivos” que validan las nuevas Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) no están configurados correctamente, por lo que una posible falla podría afectar hasta a un tercio de los usuarios globales de internet.
“Se trata de una mejora en el servicio de la seguridad del protocolo de DNS, responsable de convertir o traducir los nombres de los dominios que escribimos en la barra de direcciones del navegador en las direcciones IP”, detalla en charla con Infotechnology.com Dmitriy Bestuzhev, director del equipo global de Investigación y Análisis en América latina de Kaspesky Lab, una compañía de origen ruso dedicada a la ciberseguridad.
“Lamentablemente, el protocolo de DNS clásico presenta vulnerabilidades que pueden ser explotadas y por las cuales los usuarios pueden ser víctimas de diferentes crímenes cibernéticos. Por esto es que la decisión de migrar a DNSSEC, es decir, DNS seguro, es un paso realmente muy importante hacia la dirección correcta”, añade.
“Lo que puede suceder es que aquellos proveedores de los DNS que todavía no están trabajando con este estándar nuevo pueden sufrir caídas en el servicio. Pero –aclara enfáticamente-, definitivamente no habrá ningún colapso, se trata sencillamente de un upgrade en la infraestructura de la internet tanto de forma global como regional y local para hacer que la internet sea más segura.”
ICANN reconoció que es “imposible” prever cuando "los operadores de los resolutores afectados notarán fallas de validación". Subrayan, sin embargo, que la “mayoría” de los internautas no se verán afectados por el cambio de claves criptográficas.
De hecho, aquellos usuarios que usan al menos “un resolutor” con la nueva llave KSK o que está “listo para el traspaso” no debería notar cambio alguno “al usar DNS o la internet en general”.
"Estos servicios son redundantes y siempre hay un plan de contingencia por lo que no deberia generar interrupciones constantes", comenta Sebastián Stranieri, CEO de VU Security, una empresa argentina que se dedica al tema. "Es probable que quienes no cumplan correctamente con su implementación sufran interrupciones breves."
La ICANN, para ayudar en el proceso, lanzó en los últimos días de agosto una guía para informar al público sobre qué esperar. Sin embargo, el documento está orientado a aquellos usuarios con algún tipo de conocimiento técnico pero puede ser leída por cualquiera, aunque está en inglés.
En la guía, se detalla que los usuarios podrían comenzar a ver errores en la resolución de los nombres (errores de SERVFAIL o del servidor) en algún momento dentro de las 48 horas seguidas al momento del traspaso.
Sin embargo, según el análisis de la ICANN, en realidad el 99