Finalmente se está actualizando un elemento fundamental de Internet que le ayuda a millones de sistemas informáticos a localizarse entre sí. El sistema de nombre de dominio (DNS) funciona de un modo parecido a una guía telefónica de Internet, al transformar los URL que ingresa el usuario a un buscador, en direcciones numéricas que se usan para identificar a los servidores que son los anfitriones de la página que se busca.

Recientemente, este sistema de 30 años comenzó a mostrar la edad.

El año pasado, un equipo de investigadores de seguridad de alto perfil se dieron prisa para reparar una imperfección importantísima en el DNS que posibilitaba que se secuestraran comunicaciones legítimas, redirigiendo potencialmente a los navegadores desprevenidos hacia páginas de Red maliciosas. El parche que inventó el equipo redujo el daño inmediato pero no puede considerarse una solución permanente.

Para un arreglo a largo plazo, muchos expertos ahora están esperanzados con el DNSSEC, un protocolo que verifica los mensajes DNS con firmas digitales. El Registro de Interés Público, que administra el dominio .org, está implementando el DNSSEC en todos los domicilios de la Red que terminan con este sufijo, y planea completar la primera parte del proceso a principios de este año. El gobierno de Estados Unidos se ha comprometido a recurrir a al DNSSEC también para los .gov. La Coalición de la Industria DNSSEC, recién formada, está presionando para que el protocolo se adopte todavía más ampliamente.

Esto es algo así como un cambio. En los 14 años desde que se creó originalmente el DNSSEC, el protocolo luchó para obtener una adopción generalizada porque consideraban que aumentaba innecesariamente la complejidad de implementar el DNS. La clave de la imperfección del DNS, descubierta el año pasado, fue que el protocolo se diseño durante una época de mayor confianza y no se toma el trabajo de autentificar la información. Dan Kaminsky, el director de pruebas de penetración en IOActive, una empresa de seguridad situada en Seattle, tomó conciencia de que, si un atacante podía colarse dentro de una comunicación DNS, podía redirigir el tráfico de la Red casi en cualquier dirección. Se agregaron prestaciones al DNS para reducir la amenaza de que los mensajes se secuestren, pero el DNSSEC agrega, por primera vez, verdadera autentificación al sistema.

Alexa Raad, jefa ejecutiva del Registro de Interés Público hace notar que alguien tenía que ser el primero en implementar el protocolo nuevo. Ella dice que antes las organizaciones responsables de los nombres de los dominios no se movilizaban para integrar el DNSSEC porque o estaban mandando credenciales a servidores que no las estaban esperando, o estarían esperando credenciales que no estaban ahí. Raad dice que el Registro de Interés Público comenzó a integrarse al DNSSEC mucho antes que se anunciara la imperfección de Kaminsky, a la espera de alentar la adopción de un protocolo al dar el ejemplo. Ella cree que la aparición de la imperfección de Kaminsky sólo ayudó a intensificar el debate. “Durante los últimos dos años, gran parte del debate referido al DNSSEC se centraba en ‘¿Lo necesitamos? Hay otras tecnologías? ¿En qué medida es viable?’ Yo creo que el debate no trata más sobre eso. Todos entendemos que, de hecho, el DNS se infringió. En realidad, la única solución para eso es el DNSSEC. Ahora, el debate es ‘¿Cómo lo utilizamos?’"

El DNSSEC se refiere a crear una “cadena de confianza”, añade Ram Mohan, jefe técnico principal de Afilias, que ha estado trabajando para ayudar a que el Registro de Interés Público pueda administrar su utilización. Hay muchos lugares dónde habrá que encender al DNSSEC para que fluya la cadena de confianza ininterrumpidamente desde el usuario hasta la página. Una vez que un dominio de alto nivel (tal como un .org o .com) implementa el DNSSEC, cualquier página que dependa de ese dominio podrá optar por aplicar el DNSSEC también, lo que es un eslabón importante en la cadena. Al igual que los proveedores de servicio de Internet tales como Comcast han admitido el DNSSEC, se hace posible que muchas visitas a las páginas pasen a estar bajo la protección del DNSSEC, según Mohan.

Paul Vixie, el presidente del Consorcio de Sistemas de Internet que mantiene a BIND, el software más utilizado para procesar mensajes DNS, espera que aumente la movida hacia el DNSSEC. “Una vez que se hayan firmado las de las .gov y las .org, finalmente habrá un mercado para la tecnología y los servicios del DNSSEC. Ahora que hay otros que están implementando el DNSSEC, muchos otros querrán integrarse al negocio de proveer soluciones del DNSSEC, y eso a su vez hará posible que muchos de los que se mantienen neutrales se acerquen a nosotros y se nos unan”, dice Vixie.

En un principio, Kaminsky mismo se mantenía neutral respecto del DNSSEC como una solución posible para la imperfección que descubrió con el DNS. Ahora considera que el DNSSEC es una buena solución, pero advierte que habrá que trabajar para que pueda escalar. Él dice que lo más importante es que otros dominios iniciales, que se hallan en el núcleo de todas las operaciones de DNS, tendrán que usar el DNSSEC. Aunque nunca se ha diseñado el DNS para que esté en el meollo de las autenticación en Internet, ahora lo está y ya es hora de que lo tratemos de esta forma”, concluye Kaminsky.

Mohan dice que tiene esperanza de que muchos dominios implementen el DNSSEC pronto. “Ya es hora de que el maldito DNS sea más seguro. La integridad del tráfico comienza a cuestionarse con la llegada del phishing, los botnets y cosas así. Aquí hay una cosa concreta que puede hacerse, demostrando que puede eliminar un problema”.