Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
Reportaje:REDES

El guardián de los dominios

João Damas y 13 personas más protegen la libreta de direcciones de Internet - Incluso en caso de desastre total se podría recuperar la normalidad

La seguridad del sistema de nombres de dominios (DNS, en sus siglas en inglés) está en las manos de João Damas. Y en las de 13 personas más. Son los encargados de mantener protegida la libreta de direcciones de Internet. Siete están en la costa este y siete, en la costa oeste de Estados Unidos.

Este consultor portugués de 43 años, afincado en Madrid, custodia una llave metálica. Con tres se abre una caja de seguridad en Los Ángeles que guarda una clave criptográfica. Esta clave garantiza que las direcciones que visitamos en Internet son auténticas y no han sido manipuladas, "porque firma digitalmente las bases de datos de los servidores principales del sistema". Otra copia idéntica se almacena en Washington y la protegen, entre otros, el padre de Internet, Vinton Cerf.

La custodia está en EE UU, pero lo vigilan miembros de distintos países

"Dos veces al año nos reunimos al menos tres para abrir el cajetín"

Dan Kaminsky vio hace dos años que era fácil manipular el sistema

"Cada Estado debe cuidar sus servidores. España va retrasada"

Los DNS son máquinas y protocolos que convierten los dominios en direcciones numéricas, comprensibles para los ordenadores. Su funcionamiento es jerárquico, empezando por el servidor DNS que tiene cualquier proveedor de Internet (ISP), hasta los 13 principales, los servidores raíz.

"En el sistema siempre hay unos servidores que preguntan y otros que contestan. Cuando escribes la dirección www.elpais.com el ordenador pedirá a los diferentes servidores DNS de la jerarquía cuál es la dirección IP de esa página hasta obtener la respuesta. Es lo que se conoce como resolución de nombres de dominio", explica este químico de formación que montó el primer servidor web en el departamento de Química de la Universidad Autónoma de Madrid en 1993.

Desde el año pasado el protocolo de seguridad DNSSEC identifica y valida las resoluciones de nombres en los servidores raíz garantizando que son auténticas. "DNSSEC utiliza claves criptográficas, de las cuales la de la raíz usa 2.048 bits y está en cajas de seguridad en Estados Unidos", dice Damas.

El sistema, definido hace una década por los expertos en seguridad, se empezó a implantar cuando el estadounidense Dan Kaminsky descubrió hace dos años que era muy fácil manipular el sistema. "Dan encontró una fórmula muy efectiva y de difícil detección para atacar cualquier servidor que realiza una petición. Es decir, que pregunta por un dirección IP. El error permitía engañar a esos servidores y llevar masivamente a los internautas hacia páginas maliciosas".

La protección de los servidores principales solo es el primer paso para evitar un hipotético ataque cibernético al DNS. "En Internet hay unos 200 millones de dominios y para que el protocolo sea eficiente requiere que cada uno de los servidores tenga su DNSSEC, sus claves criptográficas asociadas que garanticen que la resolución de ese dominio es realmente auténtica". Es decir, se debe implantar también en todos y cada uno de los servidores de la pirámide desplegados por el mundo. "El proceso, en marcha, está siendo gradual. Ya están firmados los de primer nivel .org y .net y, antes de que acabe marzo, se completará el .com. Cada país, por su lado, debe proteger los suyos. Suecia y Portugal ya han hecho los deberes, pero España va retrasada".

El agujero detectado por Kaminsky sirvió también para que Gobiernos y empresas vieran asomar las orejas del lobo y dejaran de discutir quién debía custodiar el protocolo diseñado años antes. "El DNSSEC valida como auténtica una determinada respuesta. En principio genera confianza. El problema era decidir quién lo guardaba, porque contiene la información para llegar a cualquier dominio". La comunidad no lo quería dejar en manos de un único país, Estados Unidos, porque les permitiría "borrar literalmente del mapa de la Red a otra nación, colectivo y hasta a un árbol de Internet". Cuando invadió Irak, el Gobierno de George W. Bush estudió la posibilidad de suprimir su dominio, aunque no la materializó.

Como todo aquello que afecta a la raíz del DNS debe recibir el plácet del Departamento de Comercio estadounidense, el llamado Gobierno de Internet, ICANN, propuso la descentralización de la custodia, dejándola en manos de personas de confianza de la comunidad internacional, a condición de que ambas copias idénticas se quedaran en territorio estadounidense y de que nunca tres ciudadanos de ese país pudieran abrir juntos una u otra de las dos cajas de seguridad que almacenan la clave. Damas tiene su propia empresa, Bondis.org, trabaja para Internet Systems Consortium, compañía que suministra software a los DNS, y lleva años en el registro regional de Internet que distribuye los dominios en Europa (RIPE).

Dos veces al año Damas viaja a Los Ángeles. "Nos reunimos al menos tres para abrir nuestro cajetín y sacar cada uno una tarjeta que, al colocarse en el equipo, firma la base de datos de los servidores raíz".

El protocolo también contempla que si los 14 custodios desaparecieran y hasta se volatilizaran los dos centros de datos donde está físicamente la clave, otras siete personas podrían liberar una nueva copia reuniendo sus respectivas tarjetas criptográficas. Es decir, en caso de desastre total se recuperaría la normalidad en la libreta de direcciones de Internet.

* Este artículo apareció en la edición impresa del Miércoles, 2 de febrero de 2011