El estado de la seguridad de enrutamiento en los registros DNS Thumbnail
Normas Mutuamente Acordadas para la Seguridad del Enrutamiento (MANRS) 25 agosto 2020

El estado de la seguridad de enrutamiento en los registros DNS

Por April FroncekFormer Senior Editor, Internet Society Foundation
Edward LewisGuest Author

El sistema de nombres de dominios (DNS, por sus siglas en inglés) es un componente importante de Internet, pero no se tuvo en cuenta la seguridad a la hora de diseñarlo. Durante los últimos 20 años más o menos, se ha prestado mucha atención a la mejora de sus aspectos inseguros por naturaleza.

Un ejemplo de ello es la implantación de extensiones de seguridad DNS (DNSSEC, por sus siglas en inglés) que permite la validación criptográfica de los registros DNS, y más recientemente DNS en TLS y DNS en HTTPS, donde se cifran los intercambios de DNS entre huéspedes y resolvedores.

Aun así, el DNS también depende del sistema de enrutamiento global para enviar las solicitudes de DNS desde los resolvedores a los servidores y, a continuación, devolver las respuestas. Por lo tanto, la integridad del sistema de enrutamiento es de suma importancia para garantizar que las transacciones DNS se realicen de forma eficiente al destino correcto. Sin embargo, en la actualidad algunos registros DNS están poniendo en marcha la infraestructura de clave pública de enrutamiento (RPKI, por sus siglas en inglés), un marco de infraestructura de clave pública diseñado para proteger la infraestructura de enrutamiento de Internet, más concretamente el Protocolo de Puerta de Enlace de Frontera (BGP, por sus siglas en inglés).

Una encuesta de 4.138 zonas (formada por 1.201 dominios de nivel superior genéricos (gTLD, por sus siglas en inglés), 308 dominios de nivel superior de código de país (ccTLD, por sus siglas en inglés), 271 zonas de mapeo inverso y 1.780 zonas sub-ccTLD) mostró un total de 6.910 orígenes de ruta para los servidores de nombre que cubren dichas zonas.

Sin embargo, solo un 22 % de estas tenía Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés) válidas, es decir, un objeto firmado digitalmente que comprueba si el titular de un bloque de direcciones IP ha autorizado a un AS (Sistema Autónomo, por sus siglas en inglés) a crear rutas hacia uno o más prefijos del bloque de direcciones.

Si bien las cifras de las zonas de mapeo inverso (53 %) y zonas ccTLD (34 %) son una muestra de la implantación, son considerablemente bajas en las zonas gTLD (11 %). De hecho, cerca del 40 % de los TLD no utilizan las ROA en absoluto y un 20 % solo las utiliza parcialmente.

Estos resultados se comentan detalladamente en el informe «Un análisis de la implantación de Autorizaciones de Origen de Ruta en los registros DNS» que encontrarás en el sitio web de la iniciativa MANRS. Es importante destacar un aspecto de la seguridad DNS que siempre se ha pasado por alto.

Si te interesa saber más sobre el porqué de la importancia de la seguridad de enrutamiento, también puedes leer el informe de cinco partes Introducción a la seguridad de enrutamiento.

Descargo de responsabilidad: Los puntos de vista expresados en esta publicación pertenecen al autor y pueden o no reflejar las posiciones oficiales de Internet Society.

Artículos relacionados

Fortalecimiento de Internet 3 mayo 2023

El cifrado protege a los menores en Internet

Los responsables políticos están proponiendo leyes que debilitarán el cifrado. La Ley EARN IT, la Ley STOP CSAM y...

Fortalecimiento de Internet 28 septiembre 2022

Las sanciones pueden impedir el acceso a Internet cuando la gente más lo necesita

Las medidas políticas para impedir el acceso a Internet a personas de otros países podrían sentar un peligroso precedente...

Fortalecimiento de Internet 26 mayo 2022

Viejas reglas en las normas nuevas – Por qué la política del «Remitente paga» es una amenaza directa a Internet

Este mes publicamos un nuevo artículo sobre el impacto en Internet relacionado con las “Reglas de interconexión de Corea...