Página principal » cómo » Cómo DNSSEC ayudará a proteger Internet y cómo SOPA casi lo hizo ilegal

    Cómo DNSSEC ayudará a proteger Internet y cómo SOPA casi lo hizo ilegal

    Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) es una tecnología de seguridad que ayudará a solucionar uno de los puntos débiles de Internet. Tenemos suerte de que SOPA no haya pasado, porque SOPA hubiera hecho que DNSSEC fuera ilegal.

    DNSSEC agrega seguridad crítica a un lugar donde Internet realmente no tiene ninguno. El sistema de nombres de dominio (DNS) funciona bien, pero no hay verificación en ningún punto del proceso, lo que deja agujeros para los atacantes.

    El estado actual de los asuntos

    Hemos explicado cómo funciona el DNS en el pasado. En pocas palabras, cada vez que se conecte a un nombre de dominio como "google.com" o "howtogeek.com", su computadora se pondrá en contacto con su servidor DNS y buscará la dirección IP asociada para ese nombre de dominio. Tu computadora se conecta a esa dirección IP.

    Es importante destacar que no hay proceso de verificación involucrado en una búsqueda de DNS. Su computadora le pide a su servidor DNS la dirección asociada a un sitio web, el servidor DNS responde con una dirección IP y su computadora dice "¡de acuerdo!" Y se conecta felizmente a ese sitio web. Tu computadora no se detiene para comprobar si esa es una respuesta válida.

    Es posible que los atacantes redirijan estas solicitudes de DNS o configuren servidores de DNS maliciosos diseñados para devolver malas respuestas. Por ejemplo, si está conectado a una red Wi-Fi pública y trata de conectarse a howtogeek.com, un servidor DNS malicioso en esa red Wi-Fi pública podría devolver una dirección IP diferente por completo. La dirección IP podría llevarlo a un sitio web de phishing. Su navegador web no tiene una manera real de verificar si una dirección IP está realmente asociada con howtogeek.com; solo tiene que confiar en la respuesta que recibe del servidor DNS.

    El cifrado HTTPS proporciona alguna verificación. Por ejemplo, digamos que intenta conectarse al sitio web de su banco y ve HTTPS y el ícono de bloqueo en la barra de direcciones. Usted sabe que una autoridad de certificación ha verificado que el sitio web pertenece a su banco.

    Si accedió al sitio web de su banco desde un punto de acceso comprometido y el servidor DNS devolvió la dirección de un sitio de phishing impostor, el sitio de phishing no podría mostrar el cifrado HTTPS. Sin embargo, el sitio de phishing puede optar por usar HTTP simple en lugar de HTTPS, apostando a que la mayoría de los usuarios no notarán la diferencia e introducirían su información bancaria en línea de todos modos.

    Su banco no tiene forma de decir "Estas son las direcciones IP legítimas de nuestro sitio web".

    Cómo ayudará DNSSEC

    Una búsqueda de DNS en realidad ocurre en varias etapas. Por ejemplo, cuando su computadora solicita www.howtogeek.com, su computadora realiza esta búsqueda en varias etapas:

    • Primero pregunta el "directorio de la zona raíz" donde puede encontrar .com.
    • Luego le pregunta al directorio .com donde puede encontrar. howtogeek.com.
    • Luego le pregunta a howtogeek.com dónde puede encontrar www.howtogeek.com.

    DNSSEC implica "firmar la raíz". Cuando su computadora vaya a la zona raíz donde puede encontrar .com, podrá verificar la clave de firma de la zona raíz y confirmar que es la zona raíz legítima con información verdadera. La zona raíz proporcionará información sobre la clave de firma o .com y su ubicación, lo que permitirá que su computadora se comunique con el directorio .com y garantice que sea legítima. El directorio .com proporcionará la clave de firma e información para howtogeek.com, lo que le permitirá ponerse en contacto con howtogeek.com y verificar que esté conectado al howtogeek.com real, como lo confirman las zonas que se encuentran arriba..

    Cuando DNSSEC se haya implementado por completo, su computadora podrá confirmar que las respuestas de DNS son legítimas y verdaderas, mientras que actualmente no hay forma de saber cuáles son falsas y cuáles son reales..

    Lea más sobre cómo funciona el cifrado aquí..

    Lo que habría hecho SOPA

    Entonces, ¿cómo jugó en todo esto la Ley de Detener la Piratería en Línea, mejor conocida como SOPA? Bueno, si seguiste SOPA, te das cuenta de que fue escrito por personas que no entendían Internet, por lo que "rompería Internet" de varias maneras. Este es uno de ellos.

    Recuerde que DNSSEC permite a los propietarios de nombres de dominio firmar sus registros DNS. Entonces, por ejemplo, thepiratebay.se puede usar DNSSEC para especificar las direcciones IP a las que está asociado. Cuando la computadora realiza una búsqueda de DNS, ya sea para google.com o thepiratebay.se, DNSSEC permitiría que la computadora determine que está recibiendo la respuesta correcta validada por los propietarios del nombre de dominio. DNSSEC es solo un protocolo; no trata de discriminar entre sitios web "buenos" y "malos".

    SOPA habría requerido que los proveedores de servicios de Internet redirigieran las búsquedas de DNS a sitios web "malos". Por ejemplo, si los suscriptores de un proveedor de servicios de Internet intentaron acceder a thepiratebay.se, los servidores DNS del ISP devolverían la dirección de otro sitio web, lo que les informaría que la Bahía Pirata había sido bloqueada.

    Con DNSSEC, tal redirección sería indistinguible de un ataque de hombre en el medio, que DNSSEC fue diseñado para prevenir. Los ISP que implementan DNSSEC tendrían que responder con la dirección real de Pirate Bay y, por lo tanto, estarían violando a SOPA. Para adaptarse a SOPA, DNSSEC tendría que tener un gran agujero de corte, uno que permitiría a los proveedores de servicios de Internet y los gobiernos redirigir las solicitudes de DNS de nombres de dominio sin el permiso de los propietarios del nombre de dominio. Esto sería difícil (si no imposible) de hacer de manera segura, probablemente abriendo nuevos agujeros de seguridad para los atacantes.


    Por suerte, SOPA está muerta y con suerte no volverá. DNSSEC se está implementando actualmente, lo que proporciona una solución de largo plazo para este problema.

    Crédito de la imagen: Khairil Yusof, Jemimus en Flickr, David Holmes en Flickr