La directiva sobre las redes y los sistemas de información (NIS2) de la Unión Europea está perdiendo la oportunidad de fomentar la responsabilidad en toda la cadena de suministro del sistema de nombres de dominio (DNS). En lugar de centrarse en el resultado para el consumidor, la NIS2 está tratando de regular puntos específicos de la red.
Las futuras regulaciones en la UE o en otros lugares pueden funcionar mejor.
Permitidme dar un paso atrás y explicar de qué se trata la cadena de suministro de DNS.
¿Cómo llegamos a la dirección correcta en Internet?
Al ingresar un texto como «internetsociety.org» en tu dispositivo, este utiliza un servidor de nombres recursivo para consultar el Sistema de Nombres de Dominio (DNS), una base de datos jerárquica distribuida global que traduce ese texto en una dirección o en otro recurso. Esta traducción permite que tu dispositivo llegue al destino deseado. Sin utilizar el servicio proporcionado por un servidor de nombres recursivo, no sería posible tener una experiencia útil en Internet.
Cada vez que te conectas a Internet, tu operador de red (tu operador de telefonía móvil, proveedor de servicios de Internet doméstico u operador de red empresarial) te proporciona automáticamente la dirección en la que tu dispositivo puede encontrar el servidor de nombres recursivo.
Los servidores de nombres recursivos eran operados tradicionalmente por tu proveedor de servicios de Internet (ISP) u operador de red empresarial. Pero durante la última década, estos servicios se han subcontratado cada vez con más frecuencia a operadores de servidores de nombres recursivos como Google, Cloudflare o QUAD9.
Las razones para hacerlo están impulsadas principalmente por la necesidad de reducir el riesgo de continuidad. Los gastos de ejecutar un servidor de nombres recursivo propio pueden ser insignificantes, ya que los servidores de nombres recursivos generalmente usan productos gratuitos de código abierto que se ejecutan en hardware básico o listo para usar.
Del mismo modo, los gastos operativos suelen ser modestos y están a la par con las tareas estándar de administración de sistemas. Hasta que… algo sale mal. Si el servidor de nombres recursivo está inactivo, la red está inactiva. Tener un experto técnico que pueda resolver este problema rápidamente se vuelve costoso dada la necesidad de que la persona debería esté disponible las 24 horas del día, los 7 días de la semana.
La subcontratación, por esta razón, es atractiva como una opción más simple y de menor costo. Un operador especializado ahora podrá proporcionar el servicio, a menudo incluso sin costo monetario. Tiene sentido, pero ¿qué pasa con la seguridad?
¿Cuáles son los riesgos de seguridad con la externalización de servidores de nombres recursivos?
Veamos a la directiva NIS2, una reciente propuesta regulatoria de la UE, que busca imponer requisitos de seguridad a los operadores de entidades esenciales e importantes. Como mencionamos anteriormente, la NIS2 tiene una visión específica de en qué parte del ecosistema digital se deben tomar medidas de ciberseguridad. El texto de la directiva establece lo siguiente:
«las medidas de gestión de riesgos de ciberseguridad deben consistir en medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos planteados para la seguridad de las redes y los sistemas informáticos que las entidades pertinentes utilizan en la prestación de sus servicios«
( Art. 12a de 12019/2/21 Rev. 2 del 25 de octubre de 2021, no disponible públicamente).
Simpatizo con esa visión y estoy de acuerdo en que tales medidas deben tener en cuenta todas las dependencias, incluyendo las redes y los sistemas de información, en las que confían las entidades, lo que llamamos una cadena de suministro. Al mismo tiempo, creo que las entidades deberían ser responsables de gestionar el riesgo de ciberseguridad dentro de sus propias cadenas de suministro y practicar la diligencia debida cuando consideren externalizar los aportes incluidos en sus servicios finales. En esencia, mi opinión es que no es necesario regular todos los puntos a lo largo de una cadena de suministro si las entidades finales asumen la responsabilidad de sus decisiones.
La directiva NIS2 no adopta este enfoque y, en cambio, considera a los operadores de servidores de nombres recursivos como entidades independientes, imponiéndoles requisitos directos. Al regular todos los puntos de la cadena de suministro, la NIS2 trata a los resolutores recursivos como servicios que son utilizados directamente por los consumidores y las empresas, lo que no es el caso.
Las dependencias en las cadenas de suministro de las entidades no siempre son evidentes. La externalización de servidores de nombres recursivos por parte de los proveedores de red ha difuminado la cadena de dependencia a lo largo del tiempo, ya que estos acuerdos de externalización suelen realizarse sin acuerdos de nivel de servicio (SLA) o contratos.
Las entidades que subcontratan a servidores de nombres recursivos están mejor posicionadas para comprender dónde existen dependencias. Al regular exclusivamente las entidades finales en lugar de todos los niveles de la cadena de suministro, la NIS2 podría empujar a las entidades a analizar a fondo los riesgos en sus propias cadenas de suministro.
Con este enfoque, las entidades que no realicen un análisis de riesgos suficiente se enfrentarían a las sanciones correspondientes. A largo plazo, esto fomentaría una cultura de mayor transparencia y resposabilidad entre las entidades esenciales e importantes, contribuyendo en gran medida a una mayor salud de la ciberseguridad.
El entorno DNS está en constante evolución. Por ejemplo, algunos protocolos nuevos, como el protocolo de seguridad DNS mediante HTTPS (DoH), ahora se están utilizando para proporcionar características de seguridad y privacidad.
La regulación que identifica a las entidades finales en lugar de a toda la cadena de suministro sería adaptable a tales nuevas iniciativas, ya que las entidades serían responsables de gestionar el riesgo en sus propias cadenas de suministro.
En un entorno empresarial, las políticas de seguridad de la empresa deben guiar el análisis de riesgos. En una red doméstica, los desarrolladores de navegadores u otras aplicaciones serían responsables de cualquier decisión de configurar un proveedor de DNS o considerar un escenario en el que un usuario podría anular la configuración estándar de un ISP. De hecho, hay todo un grupo de trabajo del Grupo de Trabajo de Ingeniería de Internet (IETF) dedicado a crear los mecanismos técnicos para asegurarse de que se pueda encontrar y configurar el servidor de nombres recursivo adecuado.
Al tratar a los servidores de nombres recursivos como actores independientes, la NIS2 incentiva a los servidores de nombres recursivos a ser ignorados en el análisis de las dependencias de la cadena de suministro. Esto va a tener efectos perversos y se pierde la oportunidad de fomentar la responsabilidad entre entidades importantes y esenciales.
Al diseñar este tipo de regulación, es aconsejable identificar el servicio real que se está entregando y poner la responsabilidad de la seguridad allí. En un mundo ideal, me gustaría ver la NIS2 arreglada. Pero dado que la NIS2 se encuentra en las etapas finales de negociación, sería prudente que las autoridades gubernamentales de otras partes del mundo tomen nota para no cometer los mismos errores que la UE.
Crédito de la imagen: «Drapeau de l’Union Européenne» por CampusFrance, con licencia CC0 1.0