La directiva sobre las redes y los sistemas de informaci\u00f3n (NIS2) de la Uni\u00f3n Europea est\u00e1 perdiendo la oportunidad de fomentar la responsabilidad en toda la cadena de suministro del sistema de nombres de dominio (DNS). En lugar de centrarse en el resultado para el consumidor, la NIS2 est\u00e1 tratando de regular puntos espec\u00edficos de la red.<\/p>\n\n\n\n
Las futuras regulaciones en la UE o en otros lugares pueden funcionar mejor.<\/p>\n\n\n\n
Permitidme dar un paso atr\u00e1s y explicar de qu\u00e9 se trata la cadena de suministro de DNS.<\/p>\n\n\n\n
Al ingresar un texto como \u00abinternetsociety.org\u00bb en tu dispositivo, este utiliza un servidor de nombres recursivo para consultar el Sistema de Nombres de Dominio (DNS), una base de datos jer\u00e1rquica distribuida global que traduce ese texto en una direcci\u00f3n o en otro recurso. Esta traducci\u00f3n permite que tu dispositivo llegue al destino deseado. Sin utilizar el servicio proporcionado por un servidor de nombres recursivo, no ser\u00eda posible tener una experiencia \u00fatil en Internet.<\/p>\n\n\n\n
Cada vez que te conectas a Internet, tu operador de red (tu operador de telefon\u00eda m\u00f3vil, proveedor de servicios de Internet dom\u00e9stico u operador de red empresarial) te proporciona autom\u00e1ticamente la direcci\u00f3n en la que tu dispositivo puede encontrar el servidor de nombres recursivo.<\/p>\n\n\n\n
Los servidores de nombres recursivos eran operados tradicionalmente por tu proveedor de servicios de Internet (ISP) u operador de red empresarial. Pero durante la \u00faltima d\u00e9cada, estos servicios se han subcontratado cada vez con m\u00e1s frecuencia a operadores de servidores de nombres recursivos como Google, Cloudflare o QUAD9.<\/p>\n\n\n\n
Las razones para hacerlo est\u00e1n impulsadas principalmente por la necesidad de reducir el riesgo de continuidad. Los gastos de ejecutar un servidor de nombres recursivo propio pueden ser insignificantes, ya que los servidores de nombres recursivos generalmente usan productos gratuitos de c\u00f3digo abierto que se ejecutan en hardware b\u00e1sico o listo para usar.<\/p>\n\n\n\n
Del mismo modo, los gastos operativos suelen ser modestos y est\u00e1n a la par con las tareas est\u00e1ndar de administraci\u00f3n de sistemas. Hasta que… algo sale mal. Si el servidor de nombres recursivo est\u00e1 inactivo, la red est\u00e1 inactiva. Tener un experto t\u00e9cnico que pueda resolver este problema r\u00e1pidamente se vuelve costoso dada la necesidad de que la persona deber\u00eda est\u00e9 disponible las 24 horas del d\u00eda, los 7 d\u00edas de la semana.<\/p>\n\n\n\n
La subcontrataci\u00f3n, por esta raz\u00f3n, es atractiva como una opci\u00f3n m\u00e1s simple y de menor costo. Un operador especializado ahora podr\u00e1 proporcionar el servicio, a menudo incluso sin costo monetario. Tiene sentido, pero \u00bfqu\u00e9 pasa con la seguridad?<\/p>\n\n\n\n
Veamos a la directiva NIS2, una reciente propuesta regulatoria de la UE<\/a>, que busca imponer requisitos de seguridad a los operadores de entidades esenciales e importantes. Como mencionamos anteriormente<\/a>, la NIS2 tiene una visi\u00f3n espec\u00edfica de en qu\u00e9 parte del ecosistema digital se deben tomar medidas de ciberseguridad. El texto de la directiva establece lo siguiente:<\/p>\n\n\n\n \u00ablas medidas de gesti\u00f3n de riesgos de ciberseguridad deben consistir en medidas t\u00e9cnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos planteados para la seguridad de las redes y los sistemas inform\u00e1ticos que las entidades pertinentes utilizan en la prestaci\u00f3n de sus servicios<\/em>\u00ab Simpatizo con esa visi\u00f3n y estoy de acuerdo en que tales medidas deben tener en cuenta todas las dependencias, incluyendo las redes y los sistemas de informaci\u00f3n, en las que conf\u00edan las entidades, lo que llamamos una cadena de suministro. Al mismo tiempo, creo que las entidades deber\u00edan ser responsables de gestionar el riesgo de ciberseguridad dentro de sus propias cadenas de suministro y practicar la diligencia debida cuando consideren externalizar los aportes incluidos en sus servicios finales. En esencia, mi opini\u00f3n es que no es necesario regular todos los puntos a lo largo de una cadena de suministro si las entidades finales asumen la responsabilidad de sus decisiones. <\/p>\n\n\n\n La directiva NIS2 no adopta este enfoque y, en cambio, considera a los operadores de servidores de nombres recursivos como entidades independientes, imponi\u00e9ndoles requisitos directos. Al regular todos los puntos de la cadena de suministro, la NIS2 trata a los resolutores recursivos como servicios que son utilizados directamente por los consumidores y las empresas, lo que no es el caso.<\/p>\n\n\n\n Las dependencias en las cadenas de suministro de las entidades no siempre son evidentes. La externalizaci\u00f3n de servidores de nombres recursivos por parte de los proveedores de red ha difuminado la cadena de dependencia a lo largo del tiempo, ya que estos acuerdos de externalizaci\u00f3n suelen realizarse sin acuerdos de nivel de servicio (SLA) o contratos.<\/p>\n\n\n\n Las entidades que subcontratan a servidores de nombres recursivos est\u00e1n mejor posicionadas para comprender d\u00f3nde existen dependencias. Al regular exclusivamente las entidades finales en lugar de todos los niveles de la cadena de suministro, la NIS2 podr\u00eda empujar a las entidades a analizar a fondo los riesgos en sus propias cadenas de suministro.<\/p>\n\n\n\n Con este enfoque, las entidades que no realicen un an\u00e1lisis de riesgos suficiente se enfrentar\u00edan a las sanciones correspondientes. A largo plazo, esto fomentar\u00eda una cultura de mayor transparencia y resposabilidad entre las entidades esenciales e importantes, contribuyendo en gran medida a una mayor salud de la ciberseguridad.<\/p>\n\n\n\n El entorno DNS est\u00e1 en constante evoluci\u00f3n. Por ejemplo, algunos protocolos nuevos, como el protocolo de seguridad DNS mediante HTTPS (DoH), ahora se est\u00e1n utilizando para proporcionar caracter\u00edsticas de seguridad y privacidad.<\/p>\n\n\n\n La regulaci\u00f3n que identifica a las entidades finales en lugar de a toda la cadena de suministro ser\u00eda adaptable a tales nuevas iniciativas, ya que las entidades ser\u00edan responsables de gestionar el riesgo en sus propias cadenas de suministro.<\/p>\n\n\n\n En un entorno empresarial, las pol\u00edticas de seguridad de la empresa deben guiar el an\u00e1lisis de riesgos. En una red dom\u00e9stica, los desarrolladores de navegadores u otras aplicaciones ser\u00edan responsables de cualquier decisi\u00f3n de configurar un proveedor de DNS o considerar un escenario en el que un usuario podr\u00eda anular la configuraci\u00f3n est\u00e1ndar de un ISP. De hecho, hay todo un grupo de trabajo del Grupo de Trabajo de Ingenier\u00eda de Internet (IETF)<\/a> dedicado a crear los mecanismos t\u00e9cnicos para asegurarse de que se pueda encontrar y configurar el servidor de nombres recursivo adecuado.<\/p>\n\n\n\n Al tratar a los servidores de nombres recursivos como actores independientes, la NIS2 incentiva a los servidores de nombres recursivos a ser ignorados en el an\u00e1lisis de las dependencias de la cadena de suministro. Esto va a tener efectos perversos y se pierde la oportunidad de fomentar la responsabilidad entre entidades importantes y esenciales.<\/p>\n\n\n\n Al dise\u00f1ar este tipo de regulaci\u00f3n, es aconsejable identificar el servicio real que se est\u00e1 entregando y poner la responsabilidad de la seguridad all\u00ed. En un mundo ideal, me gustar\u00eda ver la NIS2 arreglada. Pero dado que la NIS2 se encuentra en las etapas finales de negociaci\u00f3n, ser\u00eda prudente que las autoridades gubernamentales de otras partes del mundo tomen nota para no cometer los mismos errores que la UE. <\/p>\n\n\n\n Cr\u00e9dito de la imagen: \u00abDrapeau de l’Union Europ\u00e9enne\u00bb<\/a> por CampusFrance<\/a>, con licencia CC0 1.0<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":" La directiva sobre las redes y los sistemas de informaci\u00f3n (NIS2) de la Uni\u00f3n Europea est\u00e1 perdiendo la oportunidad de fomentar la responsabilidad en toda la cadena de suministro del sistema de nombres de dominio (DNS). En lugar de centrarse en el resultado para el consumidor, la NIS2 est\u00e1 tratando de regular puntos espec\u00edficos de […]<\/p>\n","protected":false},"author":866,"featured_media":161799,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_uag_custom_page_level_css":"","footnotes":""},"categories":[4904],"tags":[5832],"region_news_regions":[5931],"content_category":[6102],"ppma_author":[4140],"class_list":["post-162725","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-modo-internet-de-interconectarse","tag-informes-de-impacto-a-internet","region_news_regions-global","content_category-blog-type"],"acf":[],"uagb_featured_image_src":{"full":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",1280,691,false],"thumbnail":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-150x150.jpg",150,150,true],"medium":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-450x243.jpg",450,243,true],"medium_large":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-768x415.jpg",768,415,true],"large":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-1024x553.jpg",1024,553,true],"1536x1536":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",1280,691,false],"2048x2048":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",1280,691,false],"post-thumbnail":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-250x135.jpg",250,135,true],"square":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-600x600.jpg",600,600,true],"gform-image-choice-sm":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",300,162,false],"gform-image-choice-md":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",400,216,false],"gform-image-choice-lg":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",600,324,false]},"uagb_author_info":{"display_name":"Olaf Kolkman","author_link":"https:\/\/www.internetsociety.org\/es\/author\/kolkman\/"},"uagb_comment_info":0,"uagb_excerpt":"La directiva sobre las redes y los sistemas de informaci\u00f3n (NIS2) de la Uni\u00f3n Europea est\u00e1 perdiendo la oportunidad de fomentar la responsabilidad en toda la cadena de suministro del sistema de nombres de dominio (DNS). En lugar de centrarse en el resultado para el consumidor, la NIS2 est\u00e1 tratando de regular puntos espec\u00edficos de…","authors":[{"term_id":4140,"user_id":866,"is_guest":0,"slug":"kolkman","display_name":"Olaf Kolkman","avatar_url":{"url":"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2022\/06\/Olaf-Kolkman.jpg","url2x":"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2022\/06\/Olaf-Kolkman.jpg"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/posts\/162725","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/users\/866"}],"replies":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/comments?post=162725"}],"version-history":[{"count":0,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/posts\/162725\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/media\/161799"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/media?parent=162725"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/categories?post=162725"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/tags?post=162725"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/region_news_regions?post=162725"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/content_category?post=162725"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/ppma_author?post=162725"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
( Art. 12a de 12019\/2\/21 Rev. 2 del 25 de octubre de 2021, no disponible p\u00fablicamente).<\/p>\n\n\n\n
\n\n\n\n