El sistema de nombres de dominios (DNS, por sus siglas en inglés) es un componente importante de Internet, pero no se tuvo en cuenta la seguridad a la hora de diseñarlo. Durante los últimos 20 años más o menos, se ha prestado mucha atención a la mejora de sus aspectos inseguros por naturaleza.
Un ejemplo de ello es la implantación de extensiones de seguridad DNS (DNSSEC, por sus siglas en inglés) que permite la validación criptográfica de los registros DNS, y más recientemente DNS en TLS y DNS en HTTPS, donde se cifran los intercambios de DNS entre huéspedes y resolvedores.
Aun así, el DNS también depende del sistema de enrutamiento global para enviar las solicitudes de DNS desde los resolvedores a los servidores y, a continuación, devolver las respuestas. Por lo tanto, la integridad del sistema de enrutamiento es de suma importancia para garantizar que las transacciones DNS se realicen de forma eficiente al destino correcto. Sin embargo, en la actualidad algunos registros DNS están poniendo en marcha la infraestructura de clave pública de enrutamiento (RPKI, por sus siglas en inglés), un marco de infraestructura de clave pública diseñado para proteger la infraestructura de enrutamiento de Internet, más concretamente el Protocolo de Puerta de Enlace de Frontera (BGP, por sus siglas en inglés).
Una encuesta de 4.138 zonas (formada por 1.201 dominios de nivel superior genéricos (gTLD, por sus siglas en inglés), 308 dominios de nivel superior de código de país (ccTLD, por sus siglas en inglés), 271 zonas de mapeo inverso y 1.780 zonas sub-ccTLD) mostró un total de 6.910 orígenes de ruta para los servidores de nombre que cubren dichas zonas.
Sin embargo, solo un 22 % de estas tenía Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés) válidas, es decir, un objeto firmado digitalmente que comprueba si el titular de un bloque de direcciones IP ha autorizado a un AS (Sistema Autónomo, por sus siglas en inglés) a crear rutas hacia uno o más prefijos del bloque de direcciones.
Si bien las cifras de las zonas de mapeo inverso (53 %) y zonas ccTLD (34 %) son una muestra de la implantación, son considerablemente bajas en las zonas gTLD (11 %). De hecho, cerca del 40 % de los TLD no utilizan las ROA en absoluto y un 20 % solo las utiliza parcialmente.
Estos resultados se comentan detalladamente en el informe «Un análisis de la implantación de Autorizaciones de Origen de Ruta en los registros DNS» que encontrarás en el sitio web de la iniciativa MANRS. Es importante destacar un aspecto de la seguridad DNS que siempre se ha pasado por alto.
Si te interesa saber más sobre el porqué de la importancia de la seguridad de enrutamiento, también puedes leer el informe de cinco partes Introducción a la seguridad de enrutamiento.