DNSSEC, una Internet más segura

La implantación de sistemas de certificación de los dominios en los servidores del ICAAN protege la navegación de los usuarios
Por Jordi Sabaté 30 de agosto de 2010
Img dnssec portada
Imagen: Sven

Hace poco más de dos años, el experto en seguridad Dan Kaminsky alertó al mundo sobre una grave vulnerabilidad en la conformación de los DNS o Sistemas de Nombres de Dominio, que identifican las direcciones de Internet y se encargan de que un usuario pueda ir de una página web a otra. Desde hace unas semanas, el organismo encargado de otorgar los dominios de cada dirección URL, elICAAN, ha implantado las soluciones definitivas que aseguran los DNS y evitan que puedan suplantarse por parte de cibercriminales o gobiernos que quieran evitar que sus ciudadanos lleguen a determinadas páginas contrarias a sus intereses. Son las denominadas DNSSEC o extensiones de seguridad para las DNS.

Imagen: Sven

Aunque los usuarios escriban letras en la barra de su navegador para construir una dirección URL, la Red funciona con números. Cada dirección tiene asignada una matrícula numérica denominada dirección IP, que traduce a números las letras escritas por el internauta para que los servidores puedan comprender el mensaje y llevarle a la página web que desea. De esta traducción se encargan los servidores DNS, propiedad del ICAAN y que se ubican en California (Estados Unidos). Tienen unos enormes discos duros que almacenan la información sobre las correspondencias entre letras y números.

El sistema funciona con una compleja red de servidores menores que replican esta información para evitar que cada vez que un usuario escribe una dirección URL, la petición de traducción numérica tenga que llegar a los servidores del ICAAN y regresar con la respuesta, lo que ralentizaría mucho la navegación. Esta red, o redes, de servidores se organizan en un árbol de cercanías para que el tiempo de respuesta sea mínimo.

Suplantación de direcciones en la raíz

El problema que detectó Kaminsky es estructural, acompaña a la Red desde sus inicios y se sitúa en los servidores DNS de primer nivel, que organizan la información según el dominio (.com, .es, .eu, .org, .net, etc.). No obstante, se extendía a los siguientes niveles, que refieren al nombre en concreto de la página web (Google, Yahoo!, Consumer, etc.). Consistía en una vulnerabilidad que permitía que un ciberdelincuente pudiera suplantar en el servidor DNS de primer nivel, llamado raíz, la petición de un usuario de una determinada página por otra falsa.

Si el usuario pedía una página, podía suceder que un ciberdelincuente lograra cambiarle en el servidor DNS la dirección numérica correspondiente por otra falseada

Con la vulnerabilidad al descubierto, si el usuario pedía la página de Eroski Consumer (www.consumer.es), podía suceder que un delincuente lograra cambiarle en el servidor DNS la dirección numérica correspondiente (217.116.2.18) por otra falseada y con el mismo diseño. El usuario veía en su navegador la página falsa e interactuaba con ella. Esto, trasladado a la página de un banco o un comercio electrónico, supone un grave peligro de estafa o robo de datos (los conocidos Phishingy Pharming). Como la vulnerabilidad se registraba en todo el planeta, el riesgo era incalculable.

Tras la advertencia de Kaminsky, que se reunió con los expertos de los principales organismos y empresas de la Red, se tomó la decisión de instaurar una serie de protocolos de certificación en los servidores de primer nivel, que aseguraran que la respuesta que viaja al usuario (la página web que verá) es la correcta y no una suplantación. Durante los últimos dos años, los expertos han trabajado en estos programas de certificación y ahora ya están implantados.

¿En qué se benefician los usuarios?

La información que sale ahora de los servidores de primer nivel tiene la certificación de que no está falseada y así llega replicada a los servidores más cercanos al usuario, que puede navegar de forma más segura y evita caer en tácticas de suplantación de páginas mucho más poderosas que las actuales y que, en la mayoría de los casos, son estafas.

Si en los casos de Phising basta con ser cautos y tomar una serie de medidas como leer bien la dirección URL a la que remite el delincuente o no contestar correos sospechosos, de haberse explotado la vulnerabilidad, habría sido muy difícil distinguir entre una página falsa y otra real. Aunque no se tiene conocimiento de que se hubiera explotado, se cree que algunos delincuentes podrían saber de ella.

El usuario puede hacer una navegación más segura y evitar caer en tácticas de suplantación de páginas mucho más poderosas que las actuales

Por otro lado, DNSSEC refuerza los protocolos y niveles de seguridad SSL, utilizados para cifrar la información confidencial que se envía o se recibe, tanto como para proteger la almacenada en los servidores públicos o corporativos. En consecuencia, es una garantía adicional de que los datos privados del usuario almacenados en servicios web están protegidos de manera correcta.

También en el apartado de las libertades civiles, de comunicación, expresión e información, las DNSSEC tienen muchas ventajas. Una de las estrategias para evitar que los ciudadanos se informasen era acudir a los servidores DNS y cambiar las peticiones de sitios web por páginas con información falseada o rebotar las peticiones de modo que no se pudiera acceder a ellas. Con las DNSSEC será mucho más difícil que los hackers falseen la información, ya que no pueden acceder a los servidores de primer nivel como antes.