La ICANN propone cambio de clave criptográfica para un DNS más seguro

Fadi Chehadé, Stephen Crocker y Nii Quaynor en la conferencia 47 de la ICANN

Lograr que la web sea un lugar más seguro en pocos meses es lo que persigue la Corporación para la Asignación de Nombres y Números de Internet (ICANN por sus siglas en inglés) con la propuesta del primer cambio de la clave criptográfica (KSK), lo que permitiría proteger la libreta de direcciones de internet: el Sistema de Nombres de Dominio (DNS).

Así se ha acordado por votación durante la más reciente reunión de la Junta de la ICANN, en Bélgica, donde han acordado continuar con sus planes de cambiar o “rodar” la clave para la raíz del DNS el 11 de octubre de 2018. “Será la primera vez que se cambie la clave desde que primeramente fue puesta en marcha en 2010”, de acuerdo a NetWorkWorld.

En la reunión se han planteado las razones que llevan a la ICANN a mejorar la seguridad del DNS, lo que supone una reinversión. Entre esas razones se expuso la continua evolución de las tecnologías e instalaciones de internet, así como la expansión de dispositivos IoT (Internet de las Cosas) y una mayor capacidad de redes en todo el mundo.

Esos motivos, sumados a la desafortunada falta de suficiente seguridad en esos dispositivos y redes, permiten que los atacantes tengan mayor poder para paralizar la infraestructura de internet según se considera desde la ICANN.

“Específicamente, el crecimiento de la capacidad de ataque corre el riesgo de sobrepasar la capacidad de la comunidad de operadores de servidores raíz para expandir la capacidad defensiva. Si bien sigue siendo necesario continuar expandiendo la capacidad defensiva en el corto plazo, las perspectivas a largo plazo para el enfoque tradicional parecen sombrías”, se dijo desde la institución.

Este cambio de la clave criptográfica (KSK) significa que se debe generar un nuevo par de claves públicas y privadas, así como distribuir el nuevo componente público a las partes que operan validadores de resolución. Los operadores ejecutan un software que convierte direcciones típicas como networkworld.com en direcciones de red IP, de acuerdo a la publicación.

“Los resúmenes incluyen: proveedores de servicios de internet, administradores de redes empresariales y otros operadores de resolución de DNS, desarrolladores de software de resolución de DNS; integradores de sistemas y distribuidores de hardware y software que instalan o envían el ancla de confianza de la raíz”.

Riesgos de ciberataques

A las autoridades de la ICANN les preocupa que las respuestas del Sistema de Servidor Root siguen en riesgo por los ataques de integridad, debido a la falta de una implementación significativa de las Extensiones de Seguridad del Sistema de Nombres de Dominio (validación de DNSSEC).

Te interesa: El ciberataque como nueva amenaza estratégica de la UE

Como se supone que los mensajes DNS se envían sin cifrar, los usuarios del sistema de servidor raíz (los resolvers) igualmente están sujetos a ataques de confidencialidad. Aunque las irrupciones no son necesariamente nuevas, la confianza es cada vez mayor en el DNS; es por ello que el sistema de servidor raíz necesita una nueva estrategia para reducir el efecto de estas embestidas.

Esa consideración de la ICANN mantiene vivo el deseo del cambio, pero al mismo tiempo ha admitido su ambición de un impacto mínimo en el usuario. Un pequeño porcentaje de usuarios de internet, sin embargo, podría presentar problemas para resolver nombres de dominio y eso se traduciría en problemas para llegar a sus destinos en línea.

Desde la ICANN se dijo que más del 99% de los usuarios cuyos resolvers están validando no se verán afectados por la reinversión de KSK. Es por ello que las empresas ya deberían estar actualizando su software para realizar transferencias automáticas de claves (rollovers RFC 5011) o instalar la nueva clave de forma manual.

Cherine Chalaby, presidente de la Junta Directiva de la ICANN, en un comunicado declaró que no existe forma de asegurar por completo que cada operador de red tenga configurados correctamente sus resolvers pero, si las cosas salen como se han planificado, esperan que la gran mayoría tenga acceso a la zona raíz.

De acuerdo a David Conrad, director de Tecnología de ICANN, la investigación les ha revelado que existen miles de operadores de red que han habilitado la validación de DNSSEC y aproximadamente una cuarta parte de los usuarios de internet dependen de esos operadores.

“Es casi seguro que habrá al menos unos pocos operadores en todo el mundo que no estarán preparados, pero incluso en el peor de los casos, todo lo que tienen que hacer para solucionar el problema es desactivar la validación de DNSSEC, instalar la nueva clave, volver a habilitar DNSSEC y sus usuarios volverán a tener conectividad total con el DNS”, ha explicado Conrad.

Plan de la ICANN

El Root KSK Rollover de la KSK 2010 a la versión 2017 de KSK se suponía que tendría lugar hace casi un año, pero se ha retrasado para el 11 de octubre de este año debido a posibles problemas de interrupción de la conectividad de internet, de acuerdo a la publicación.

Después de consultar con la comunidad, la ICANN ha informado que desarrollaron un nuevo plan que recomienda poner la nueva clave en uso exactamente un año después de la programación original.

Matt Larson, vicepresidente de Investigación de ICANN y persona clave de la organización para el rol clave, ha puntualizado que este es el primer cambio de la clave criptográfica (KSK), pero no será el último.

“Esta es la primera vez, así que, naturalmente, hacemos todo lo posible para asegurarnos de que todo transcurra de la mejor manera posible; pero a medida que realicemos más transferencias clave en el futuro, los operadores de red, los ISP y otros se acostumbrarán más a la práctica”, puntualizó.

Por su parte, Rodrigo de la Parra, vicepresidente de ICANN para Latinoamérica y el Caribe, también ha comunicado que el cambio de la clave criptográfica (KSK) “puede impactar hasta a un 25% de usuarios globales de internet, lo que significa que afectará a más de 750 millones de personas. Esta cifra se basa en el número estimado de usuarios de internet que utilizan resolutores de validación del DNSSEC”.