Los tecnólogos a favor del incremento de la seguridad dentro del sistema de nombres de dominio (DNS, en inglés) a menudo han vaticinado que la tecnología se empezaría a utilizar durante los próximos dos o cinco años. El hecho de que estas predicciones se lleven haciendo durante una década y media se ha convertido en un comentario chistoso dentro de la industria.

Sin embargo, puede que haya llegado el día que dichos defensores llevan años prediciendo. El lunes, la compañía que administra los registros .com y .net, VeriSign, anunciará su estrategia para poner a prueba e instalar de forma incremental el denominado DNS Security (DNSSEC) durante el primer cuarto de 2011 para los dos dominios de alto nivel. La Corporación de Internet para los Nombres y Números Asignados (ICANN, en inglés)—la organización que coordina la infraestructura de internet entre los propietarios—ya ha anunciado que dará comienzo al proceso mediante la creación de una llave de alto nivel para verificar los nombres de dominio el 1 de diciembre.

Los dos pasos fundamentales otorgan al DNSSEC un impulso bastante necesario, afirma Joe Waldron, director de gestión de producto en VeriSign.

“Creo que estamos en un punto significativo,” afirma. “Entre ahora y 12 ó 18 meses, veremos una cantidad significativa de adopción entre registros, registradores, proveedores de servicios de internet y propietarios de nombres de dominio.”

El sistema de nombre de dominio es una fundación sobre la que se construye internet. Los servidores del DNS traducen los nombres de dominio, fáciles de entender, tales como technologyreview.com, en las direcciones de internet numéricas que utilizan los ordenadores y dispositivos de red para comunicarse entre ellos. El DNSSEC añade datos a los registros de dominio, insertando información criptográfica que puede utilizarse para verificar que una dirección es un destino válido para un dominio en concreto.

Sin embargo, y puesto que el DNSSEC requiere llevar a cabo cambios en los servidores y el software que administra los componentes fundamentales de internet, las compañías y organizaciones se han resistido a su adopción hasta ahora.

“Existía una gran preocupación, por ejempo, a finales de los años 90 acerca de los ataques de envenamiento de caché,” afirmó Dan Kaminsky, director de pruebas de penetración en IOActive, una firma de seguridad con sede en Seattle. “Mucha gente afirmaba que teníamos que hacer algo al respecto, aunque no hicimos nada.”

Además, la gestión de las llaves criptográficas necesarias para validar las entradas en el sistema de nombres de dominio es complicada. Cada llave de dominio tiene que ser validada, o firmada, por otra llave a una escala superior dentro de la cadena de confianza. Los dominios punto com serán validados por la llave que utiliza VeriSign. A cambio, esto será validado por la llave de firma de llaves del DNS. La ICANN, junto al Departamento de Comercio y VeriSign, administrará la llave maestra.

Kaminsky se ha encargado de añadir cierto ímpetu al movimiento pro-DNSSEC. En 2008, un grave error informático descubierto por el investigador empujó a la industria a trabajar en grupo para hallar la forma de mejorar la seguridad del DNS. La vulnerabilidad encontrada permitía al atacante falsificar las entradas del DNS y que la persona que navegase la web creyese, por ejemplo, que estaban visitando su banco, aunque en realidad estaban suministrando su nombre de usuario y clave a unos ladrones de datos. La industria se unió para crear una serie de parches; sin embargo dichos parches supusieron una medida temporal, y no una solución real.

Aunque se han propuesto otros métodos para asegurar el sistema de nombres de dominio, ninguno ha recibido la atención ni ha pasado por las pruebas que ha pasado el DNSSEC. Kaminsky creía firmemente en la necesidad de crear el DNSSEC. En 2009 se hizo evangelista, charlando con todo aquel que quisiera escucharlo y así intentar acelerar la adopción del DNSSEC.

Kaminsky “hizo a la gente darse cuenta de que hay muchos fallos dentro del DNS que hasta ahora no se habían observado,” afirma Keith Mitchel, director de ingeniería del Consorcio de Sistemas de Internet, una organización sin ánimo de lucro que desarrolla el software para DNS más popular, conocido como Berkeley Internet Name Daemon, o BIND. “Y el DNSSEC es prácticamente el único sistema que tenemos disponible para solucionar estos problemas.”

Con la creación de la llave para la firma de llaves el 1 de diciembre, la ICANN establecerá los cimientos de la infraestructura del DNSSEC. Los encargados de mantener los dominios de alto nivel serán capaces de firmar otros dominios de los que sean responsables. La creación de una llave maestra simplifica la administración de los servidores de DNS seguros y establece el comienzo de una jerarquía de confianza.

“Esta es una pieza crítica dentro del puzzle y llevaba tiempo perdida,” señala Mitchell. “Hasta ahora, no ha habido un ente de confianza en la raíz, lo cual ha resultado ser bastante problemático.”

VeriSign no es la primera compañía en utilizar el DNSSEC en un dominio de alto nivel. Suecia ha implementado la tecnología de seguridad, firmando la llave de zona “.se” en 2005. A principios de este año, el Registro Público de Internet firmó la llave de zona para las .org.

VeriSign prevé una implantación lenta del DNSSEC, empezando por pequeños proyectos piloto, ayudando a los registradores y a los proveedores de servicios de internet a poner a prueba sus implementaciones, para rápidamente pasar a implementaciones más ambiciosas, afirma la compañía. La clave es, sin embargo, no romper ninguna aplicación en internet, afirma Waldron.

“Nos queremos asegurar que los registradores hacen lo que tienen que hacer para que el servicio esté disponible ante los clientes,” afirma. “Casi todos los componentes de la infraestructura de internet se ven impactados por la utilización del DNSSEC. Por tanto esto es algo que no hay que llevar a cabo con prisas. Minimizar cualquier tipo de incidentes es nuestra prioridad.”