Aunque los usuarios escriban letras en la barra de su navegador para construir una dirección URL, la Red funciona con números. Cada dirección tiene asignada una matrícula numérica denominada dirección IP, que traduce a números las letras escritas por el internauta para que los servidores puedan comprender el mensaje y llevarle a la página web que desea. De esta traducción se encargan los servidores DNS, propiedad del ICAAN y que se ubican en California (Estados Unidos). Tienen unos enormes discos duros que almacenan la información sobre las correspondencias entre letras y números.
El sistema funciona con una compleja red de servidores menores que replican esta información para evitar que cada vez que un usuario escribe una dirección URL, la petición de traducción numérica tenga que llegar a los servidores del ICAAN y regresar con la respuesta, lo que ralentizaría mucho la navegación. Esta red, o redes, de servidores se organizan en un árbol de cercanías para que el tiempo de respuesta sea mínimo.
Suplantación de direcciones en la raíz
El problema que detectó Kaminsky es estructural, acompaña a la Red desde sus inicios y se sitúa en los servidores DNS de primer nivel, que organizan la información según el dominio (.com, .es, .eu, .org, .net, etc.). No obstante, se extendía a los siguientes niveles, que refieren al nombre en concreto de la página web (Google, Yahoo!, Consumer, etc.). Consistía en una vulnerabilidad que permitía que un ciberdelincuente pudiera suplantar en el servidor DNS de primer nivel, llamado raíz, la petición de un usuario de una determinada página por otra falsa.
Con la vulnerabilidad al descubierto, si el usuario pedía la página de Eroski Consumer (www.consumer.es), podía suceder que un delincuente lograra cambiarle en el servidor DNS la dirección numérica correspondiente (217.116.2.18) por otra falseada y con el mismo diseño. El usuario veía en su navegador la página falsa e interactuaba con ella. Esto, trasladado a la página de un banco o un comercio electrónico, supone un grave peligro de estafa o robo de datos (los conocidos Phishing y Pharming). Como la vulnerabilidad se registraba en todo el planeta, el riesgo era incalculable.
Tras la advertencia de Kaminsky, que se reunió con los expertos de los principales organismos y empresas de la Red, se tomó la decisión de instaurar una serie de protocolos de certificación en los servidores de primer nivel, que aseguraran que la respuesta que viaja al usuario (la página web que verá) es la correcta y no una suplantación. Durante los últimos dos años, los expertos han trabajado en estos programas de certificación y ahora ya están implantados.
¿En qué se benefician los usuarios?
La información que sale ahora de los servidores de primer nivel tiene la certificación de que no está falseada y así llega replicada a los servidores más cercanos al usuario, que puede navegar de forma más segura y evita caer en tácticas de suplantación de páginas mucho más poderosas que las actuales y que, en la mayoría de los casos, son estafas.
Si en los casos de Phising basta con ser cautos y tomar una serie de medidas como leer bien la dirección URL a la que remite el delincuente o no contestar correos sospechosos, de haberse explotado la vulnerabilidad, habría sido muy difícil distinguir entre una página falsa y otra real. Aunque no se tiene conocimiento de que se hubiera explotado, se cree que algunos delincuentes podrían saber de ella.
Por otro lado, DNSSEC refuerza los protocolos y niveles de seguridad SSL, utilizados para cifrar la información confidencial que se envía o se recibe, tanto como para proteger la almacenada en los servidores públicos o corporativos. En consecuencia, es una garantía adicional de que los datos privados del usuario almacenados en servicios web están protegidos de manera correcta.
También en el apartado de las libertades civiles, de comunicación, expresión e información, las DNSSEC tienen muchas ventajas. Una de las estrategias para evitar que los ciudadanos se informasen era acudir a los servidores DNS y cambiar las peticiones de sitios web por páginas con información falseada o rebotar las peticiones de modo que no se pudiera acceder a ellas. Con las DNSSEC será mucho más difícil que los hackers falseen la información, ya que no pueden acceder a los servidores de primer nivel como antes.
No hay comentarios:
Publicar un comentario