Preguntas frecuentes sobre DNSSEC  

El Sistema de Nombres de Dominio (DNS)

¿Qué es el DNS?
¿Cómo funciona el DNS?
¿Por qué es el DNS vulnerable?
¿Qué es el envenenamiento de cache?
¿Qué son los ataques de intermediario (man-in-the-middle, MITM)?

DNSSEC

¿Qué hace DNSSEC?
¿Quién se beneficia de DNSSEC?
¿Cómo funciona DNSSEC?
¿En qué grado soluciona DNSSEC los problemas generales de seguridad en Internet?
¿Cómo podría estar un usuario informado de un ataque?
¿Qué hace Verisign para implementar DNSSEC?
¿Cuál es la estrategia de Verisign para desplegar DNSSEC?
¿Qué se necesita para que DNSSEC sea un éxito?
¿Quién ha adoptado o desplegado DNSSEC?
¿Seguiré necesitando Secure Sockets Layer (SSL) cuando se haya desplegado DNSSEC?
¿Se exige DNSSEC por ley o por estándares de la industria?
¿Cuál es la historia de DNSSEC?

Registradores

¿Cómo afecta la implementación de DNSSEC a los registradores?
¿Qué hace Verisign para ayudar a los registradores de dominios .com y .net?
¿Los consumidores pueden adquirir DNSSEC? ¿Cómo funciona esto?

ISP, proveedores y operadores de sitios web (Registrantes)

¿Qué necesitan hacer los proveedores de servicios de Internet (ISP)?
¿Qué papel juegan los proveedores de hardware en DNSSEC?
¿Cómo pueden los desarrolladores de software apoyar DNSSEC?
¿Qué es el Verisign DNSSEC Interoperability Lab?
¿Cómo pueden los operadores de sitios web habilitar DNSSEC?
¿Qué papel juegan los diseñadores de políticas en el éxito de DNSSEC?

 

Respuestas acerca del Sistema de Nombres de Dominio (DNS)

¿Qué es el DNS? 
El DNS es el sistema de direccionamiento de Internet. Prácticamente todo lo que interactúa con Internet (como equipos informáticos de cualquier tipo, dispositivos móviles, cajeros automáticos o terminales de punto de venta) depende de los servicios DNS para intercambiar información. El DNS usa servidores especializados para traducir (o resolver) nombres como www.verisigninc.com en direcciones numéricas que permiten que los datos y la información lleguen a su destino. Todas las aplicaciones de Internet, desde los sitios web, el correo electrónico, las redes sociales y la banca en línea hasta el sistema Voz sobre Protocolo de Internet (VoIP), el intercambio de archivos y el vídeo bajo demanda, dependen de la precisión y la integridad de esta traducción. Sin el DNS, Internet no podría funcionar. El DNS forma parte integral de la infraestructura crítica de una nación, de las operaciones comerciales y transacciones financieras en línea, y de todas las comunicaciones basadas en Internet. Volver arriba

¿Cómo funciona el DNS? 
El espacio de nombres de dominio consiste de un árbol de nombres de dominio, subdividido en zonas. La zona raíz o de nivel superior está administrada por el Departamento de Comercio de los Estados Unidos (DoC) y gestionada conjuntamente por Verisign y el operador de funciones de la Agencia de Asignación de Números de Internet (IANA), que mantienen los datos en los servidores de nombres raíz. Conozca más acerca del DNS.

Una zona DNS consiste en una colección de nodos conectados, servidos por un servidor de nombres oficial. Los servidores de nombres oficiales para cada zona son los responsables de publicar el mapa de nombres de dominio a direcciones IP. Cada nodo u hoja en el árbol posee cero o más registros de recurso que contienen información asociada con el nombre de dominio. Cada nombre de dominio termina con un dominio de nivel superior (TLD) como .com o .tv.

Para que Internet pueda funcionar y para prevenir la duplicación de nombres de dominio, es necesario que exista un lugar oficial donde registrar un nombre de dominio. Cada TLD tiene un registro oficial, que gestiona una base de datos centralizada. El registro propaga la información sobre nombres de dominio y direcciones IP en archivos de zona TLD. Los archivos de zona TLD mapean nombres de dominio de segundo nivel activos (la porción del nombre de dominio que aparece inmediatamente a la izquierda del “.”) a las direcciones IP únicas de los servidores de nombre. Conozca más acerca de los nombres de dominio y su registro. Volver arriba

¿Por qué es el DNS vulnerable? 
¿Por qué es el DNS vulnerable?El proceso de traducir un nombre de dominio a una dirección IP se denomina resolución DNS. Cuando alguien introduce un nombre de dominio, como por ejemplo www.verisigninc.com, en un navegador web, el navegador contacta con un servidor de nombres para obtener la dirección IP correspondiente. Existen dos tipos de servidor de nombre: los servidores de nombre oficiales, que almacenan la información completa sobre una zona, y los servidores de nombre recursivos, que responden las consultas DNS de los usuarios de Internet y almacenan los resultados de la respuesta DNS por un periodo de tiempo. Cuando un servidor de nombres recursivo recibe una respuesta, la almacena en su cache para acelerar las consultas subsiguientes. El uso de cache reduce la cantidad de solicitudes de información necesaria, pero es susceptible a los ataques de intermediario.

Como resultado de estos ataques, los ciberdelincuentes pueden:

  • Secuestrar mensajes de correo
  • Pinchar conversaciones de Voz sobre IP (VoIP)
  • Hacerse pasar por sitios web
  • Robar contraseñas e información de acceso
  • Extraer datos de tarjetas de crédito y otras informaciones confidenciales

Conozca más acerca de las amenazas del sistema DNS. Volver arriba

¿Qué es el envenenamiento de cache? 
El envenenamiento de cache ocurre cuando se insertan datos de DNS fraudulentos en la cache de un servidor de nombres recursivo. Los servidores de nombres recursivos almacenan temporalmente la información que han obtenido durante el proceso de resolución de nombres, pero sin las DNNSEC no tienen ningún modo de asegurar la validez y fiabilidad de esta información. Cuando se almacena información maliciosa en el servidor de nombres recursivo, se considera que el servidor está "envenenado". El envenenamiento de cache permite a un atacante redirigir el tráfico hacia sitios fraudulentos. Volver arriba

¿Qué son los ataques de intermediario (man-in-the-middle, MITM)? 
Un ataque MITM intercepta y modifica subrepticiamente las comunicaciones entre dos sistemas. El atacante puede modificar potencialmente la comunicación o redirigir el tráfico hacia una dirección o página web ilegítima. Los usuarios finales no detectan al intermediario y suponen que se están comunicando directamente con el destinatario pretendido. Volver arriba

Respuestas sobre DNSSEC

¿Qué hace DNSSEC? 
DNSSEC protege a la comunidad de Internet de datos DNS falsificados usando criptografía de clave pública para firmar digitalmente los datos de zona oficiales. La validación DNSSEC asegura a los usuarios que los datos se originaron en la fuente declarada y que no se modificaron en el trayecto. DNSSEC también puede demostrar que un nombre de dominio no existe.

Si bien DNSSEC mejora la seguridad DNS, no se trata de una solución exhaustiva. No protege contra ataques distribuidos de denegación de servicio (DDoS), asegura la confidencialidad en los intercambios de datos, encripta datos de los sitios web, ni protege las direcciones IP contra spoofing o phishing. Otras capas de protección, como la mitigación de DDoS, la inteligencia de seguridad, la encriptación y validación de sitios Secure Sockets Layer (SSL) y la autenticación de dos factores, también son críticas para mantener la seguridad de Internet. Estos mecanismos tendrían que usarse en conjunción con DNSSEC. Volver arriba

¿Quién se beneficia de DNSSEC? 
DNSSEC afecta a cada componente del ecosistema de infraestructura de Internet. Su despliegue efectivo requerirá la participación de muchas partes interesadas en la comunidad de Internet. Los registros, registradores, registrantes de nombres de dominio, proveedores de hardware y software, ISP, entidades gubernamentales y los usuarios de Internet comunes, todos ellos deben jugar un papel para asegurar el éxito del despliegue, que comportará mejoras vitales en la seguridad de Internet.

DNSSEC beneficia a:

  • La comunidad de Internet, al mejorar la seguridad en las zonas firmadas.
  • Los registradores, al permitirles ofrecer servicios de firma de dominios a sus clientes.
  • A los ISP, al incrementar la seguridad de los datos devueltos a sus clientes.
  • A los usuarios, al protegerles de las vulnerabilidades de DNS como el envenenamiento de cache y los ataques de intermediario.

Volver arriba

¿Cómo funciona DNSSEC? 
En DNSSEC, cada zona tiene un par de claves públicas/privadas. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene segura y almacenada idealmente fuera de línea. La clave privada de zona firma datos individuales de DNS en esa zona, creando firmas digitales que también son publicadas mediante DNS.

DNSSEC usa un modelo de confianza rígido, y esta cadena de confianza fluye de zona padre a zona hija. Las zonas de nivel superior (padres) firman —o responden por— las zonas inferiores (hijas). Los servidores de nombre oficiales para estas zonas pueden ser administrados por registradores, ISP, proveedores de alojamiento web y los mismos operadores de páginas web (registrantes).

Cuando un usuario final desea acceder a un sitio web, un resolutor local en el sistema operativo del usuario solicita el registro del nombre de dominio desde un servidor de nombres recursivo, localizado en un ISP. Después de que el servidor solicite este registro, también solicita la clave DNSSEC asociada con la zona. Esta clave permite al servidor verificar que la información que recibe es idéntica al registro del servidor de nombres oficial

Si el servidor de nombres recursivo determina que el registro de la dirección ha sido enviado por el servidor de nombres oficial y no ha sido alterado durante el trayecto, resuelve el nombre de dominio permitiendo al usuario acceder al sitio. A este proceso se le denomina validación. Si el registro de la dirección ha sido modificado o no proviene de la fuente declarada, el servidor de nombres recursivo no permite que el usuario alcance la dirección fraudulenta. DNSSEC también puede demostrar que un nombre de dominio no existe. Volver arriba

¿En qué grado soluciona DNSSEC los problemas generales de seguridad en Internet? 
El rompecabezas general de la seguridad en Internet tiene muchas piezas. DNSSEC puede mitigar preocupaciones de seguridad generadas por ataques de intermediario y envenenamiento de cache, pero no supone una solución de seguridad exhaustiva. DNSSEC no soluciona muchas de las amenazas más comunes a la seguridad en Internet, como el spoofing o el phishing. Por este motivo, otras capas de protección, como los certificados SSL y la autenticación de dos factores, resultan críticas para hacer que Internet sea seguro para todos. Volver arriba

¿Cómo podría estar un usuario informado de un ataque? 
La comunidad de Internet no ha concebido aún un sistema estandarizado para informar a los usuarios de un ataque. Una solución posible pasaría por desarrollar navegadores “preparados para DNSSEC” que notifiquen a los usuarios cuando hayan sido dirigidos a un destino autenticado. Volver arriba

¿Qué hace Verisign para implementar DNSSEC? 
En julio de 2010, Verisign (junto con la Agencia de Asignación de Números de Internet (IANA) y el Departamento de Comercio (DoC) de EE.UU.) completaron la implantación de DNSSEC en la zona raíz (el punto de inicio de la jerarquía de DNS). Verisign también adaptó el dominio .edu en julio, en colaboración con EDUCAUSE y el DoC, el dominio .net en diciembre de 2010 y el dominio .com en marzo de 2011. Volver arriba

¿Cuál es la estrategia de Verisign para desplegar DNSSEC? 
Nuestra estrategia de despliegue de DNSSEC empezó primero por las zonas más pequeñas para evaluar cada despliegue y tomar nota de todo lo aprendido antes de pasar a la siguiente zona. Como la zona .com es la más extensa, la dejamos para el final. Quisimos obtener tanta experiencia como fuera posible antes de emprender la tarea en un dominio que maneja la mayor parte del comercio y las comunicaciones basadas en Internet en todo el mundo. Volver arriba

¿Qué se necesita para que DNSSEC sea un éxito? 
El despliegue exitoso de DNSSEC comporta beneficios de largo alcance para la comunidad global de Internet al incrementar la confianza en una gran cantidad de actividades de Internet, incluyendo el comercio electrónico, la banca en línea, el correo electrónico, la VoIP y la distribución de software en línea. Sin embargo, la comunidad de Internet entera comparte la responsabilidad de hacer que el despliegue de DNSSEC sea exitoso. Para ello será necesaria la participación activa y coordinada de registros, registradores, registrantes, empresas de alojamiento, desarrolladores de software, proveedores de hardware, gobiernos y coaliciones y expertos en Internet. Volver arriba

¿Quién ha adoptado o desplegado DNSSEC? 
La zona raíz de Internet, dominios de nivel superior (TLD) como .gov, .org o .museum, y un cierto número de dominios de nivel superior de código de país (ccTLD), han firmado las zonas que administran. Otros TLD como .edu, .net, y .com implementaron DNSSEC entre 2010 y 2011. Estos TLD han empezado a aceptar nombres de dominio de segundo nivel firmados con DNSSEC. ISP importantes como Comcast activaron la validación de los servidores de nombres recursivos que responden las consultas de los usuarios, y algunos registradores han incluido la implementación de DNSSEC en sus planes de actuación. Además, la Corporación para la Asignación de Números y Nombres en Internet (ICANN) ha abierto aplicaciones para nuevos TLD y es probable que los planes para la implementación de DNSSEC sean un requisito para la aceptación de una nueva solicitud de TLD. Volver arriba

¿Seguiré necesitando Secure Sockets Layer (SSL) cuando se haya desplegado DNSSEC? 
Si bien tanto DNSSEC como SSL se basan en la criptografía de clave pública, cada uno realiza funciones muy distintas, que se complementan más que sustituir el uno al otro.

En un modelo muy simplificado, DNSSEC trata con el “dónde”, mientras que SSL trata con el “quién” y el “cómo”.

  • Dónde—DNSSEC usa firmas digitales para verificar la integridad de los datos DNS, asegurando de ese modo que los usuarios llegan a la dirección IP deseada. Su trabajo termina una vez que el usuario ha alcanzado la dirección. DNSSEC no asegura la identidad de la entidad en dicha dirección, ni encripta las interacciones entre el usuario y el sitio.
  • Quién—SSL usa certificados digitales para validar la identidad de un sitio. Cuando estos certificados están emitidos por terceras autoridades certificadoras (CA) acreditadas, SSL asegura a los usuarios la identidad del propietario del sitio web. Sin embargo, SSL no sirve para asegurar que un usuario ha llegado al sitio correcto, por lo que no es de utilidad contra ataques que redirijan a los usuarios. En otras palabras, la validación de sitio por SSL es efectiva, pero solo si un usuario ha llegado al destino correcto en primer lugar.
  • Cómo—SSL también usa certificados digitales para encriptar el intercambio de datos entre un usuario y un sitio, por lo que se protege la confidencialidad de transacciones financieras, comunicaciones, comercio electrónico y otras interacciones sensibles.

Cuando se usan conjuntamente, DNSSEC y SSL incrementan la seguridad y la confianza en Internet: Los usuarios pueden determinar con certeza adónde se dirigen, con quién están interactuando y hasta qué punto son confidenciales sus interacciones. Volver arriba

¿Se exige DNSSEC por ley o por estándares de la industria? 
En EE.UU., el memorándum 08-23 de la Oficina de Gestión y Presupuesto (OMB) estableció el despliegue de DNSSEC en el dominio de nivel superior .gov para enero de 2009 y en los sitios externos de las agencias federales de los Estados Unidos para diciembre de 2009. El registro del dominio .gov fue firmado a principios de 2009. La Agencia de Sistemas de Información de los Estados Unidos tiene también la intención de cumplir los requisitos de DNSSEC de la OMB para el dominio .mil. Las regulaciones de la Ley Federal de Administración de la Seguridad de la Información (FISMA) han exigido a las agencias a firmar sus zonas de intranet con DNSSEC hasta mediados de 2010. Actualmente no se requiere a los operadores de sitios web públicos a asegurar su dominio con DNSSEC. Volver arriba

¿Cuál es la historia de DNSSEC? 
1993: Empieza el debate sobre un DNS seguro
1994: Se publica el primer borrador de un posible estándar
1997: Se publica la RFC 2065 (DNSSEC es un estándar IETF)
1999: Se publica la RFC 2535 (se revisa el estándar DNSSEC)
2005: Se publica una reescritura total de los estándares
RFC 4033 (Introducción y requisitos)
RFC 4034 (Nuevos registros de recursos)
RFC 4035 (Cambios en el protocolo)
Julio de 2010: se firma la zona raíz
Julio de 2010: se firma el dominio .edu
Diciembre de 2010: se firma el dominio .net
Febrero de 2011: se hace la transición del registro .gov habilitado para DNSSEC a Verisign
Marzo de 2011: se firma el dominio .com
Marzo de 2011: el servicio Verisign Managed DNS se mejora con una compatibilidad total para el cumplimiento de DNSSEC
Enero de 2012: Comcast anuncia que sus clientes usan resolutores de validación de DNSSEC
Marzo de 2012: el número de TLD firmados llega a 90

Volver arriba

Respuestas para registradores

¿Cómo afecta la implementación de DNSSEC a los registradores? 
Los registradores necesitan firmar los nombres de dominio para sus clientes (registrantes). La activación de DNSSEC para un registrante comporta la creación de un par de claves públicas y privadas para el nombre de dominio, la creación y firma de la zona y la administración del par de claves. Estos procesos aseguran que los resolutores preparados para DNSSEC dentro del ecosistema de Internet pueden verificar la autenticidad de las respuestas recibidas desde la zona. Los registradores también tienen que modificar la interfaz de sus clientes para poder aceptar los datos clave de DNSSEC. Además, necesitan modificar su interfaz del Protocolo de Aprovisionamiento Extensible (EPP) para pasar los datos clave de DNSSEC a los registros con los que interactúan. Volver arriba

¿Qué hace Verisign para ayudar a los registradores de dominios .com y .net? 
Verisign se compromete a reducir los costes de implementación de DNSSEC para registradores y a ayudar a nuestros registradores afiliados a determinar su estrategia de despliegue de DNSSEC. Verisign proporciona diversas herramientas, formación, servicios y soporte para ayudar a los registradores en sus procesos de administración clave y en el despliegue de DNSSEC en sus servidores DNS.

Este soporte incluye:

  • Un Entorno de Prueba Operacional para los dominios .net y .com, que permite a los registradores asegurarse que su implementación de DNSSEC funciona correctamente.
  • Tutoriales sobre DNSSEC proporcionados por el Campamento Técnico.
  • Un kit de desarrollo de software (SDK) y herramientas EPP. Acceso al SDK EPP.
  • El Foro Técnico de DNSSEC.
  • Una Guía de Herramientas DNSSEC, que proporciona una visión general de las herramientas de código abierto relacionadas con DNSSEC y las suites de automatización disponibles en la industria.
  • Una herramienta descargable basada en línea de comandos que permite a los registradores integrar algunas herramientas comunes de código abierto para simplificar la administración de zona DNS y DNSSEC.
  • Libros blancos sobre cómo las transferencias de registradores tendrán lugar en un entorno habilitado con DNSSEC (a través del Foro Técnico de DNSSEC).

Volver arriba

¿Los consumidores pueden adquirir DNSSEC? ¿Cómo funciona esto? 
Verisign invierte en DNSSEC para reforzar la infraestructura de Internet. Los registradores y/o proveedores de servicio pueden decidir el desarrollo de servicios que permitan a sus clientes el uso de DNSSEC. El mercado determinará el modelo. Volver arriba

ISP, proveedores y operadores de sitios web (Registrantes)

¿Qué necesitan hacer los proveedores de servicios de Internet (ISP)? 
Para ayudar a propagar DNSSEC a través del ecosistema de Internet, los ISP necesitan incorporar DNSSEC a sus servidores de nombres recursivos y asegurar la compatibilidad con su infraestructura de red (por ejemplo en firewalls, routers, switches y distribuidores de carga) con la mayor cantidad de respuestas DNS que genera DNSSEC.

La mayoría de los servidores de nombres recursivos disponibles comercialmente ya soportan DNSSEC y sólo requieren una actualización o un cambio de parámetros. Sin embargo, los registradores pueden tener que actualizar o sustituir servidores de nombres antiguos y dispositivos de red existentes. Volver arriba

¿Qué papel juegan los proveedores de hardware en DNSSEC? 
DNSSEC introduce cambios complejos en el ecosistema entero de Internet. Para asegurar que los usuarios de Internet se benefician de esta capa añadida de seguridad en Internet, los fabricantes de productos de infraestructura de Internet tales como firewalls, routers y otros dispositivos necesitan comprobar que sus equipos son compatibles con DNSSEC. La operación correcta de estos productos tendrá un impacto en prácticamente todo aquel que se conecte a Internet, incluyendo a empresas, ISP, usuarios domésticos y otros clientes. Volver arriba

¿Cómo pueden los desarrolladores de software apoyar DNSSEC? 
Tanto los productos de software que hacen funcionar el DNS como las aplicaciones destinadas al usuario final tales como los navegadores o el correo electrónico forman parte integral del uso efectivo e innovador de Internet. Los registradores, ISP y usuarios finales necesitan soluciones que incorporen las capacidades de DNSSEC en este software. Creando productos habilitados con DNSSEC y desarrollando herramientas para simplificar la administración de DNSSEC, los desarrolladores de software contribuirán a fomentar la adopción global de DNSSEC.

Existen oportunidades de crear valor para el cliente a los niveles del sistema operativo del servidor DNS, en el del cliente y en las aplicaciones para el usuario final. Por ejemplo, los registradores, ISP y servicios de alojamiento web necesitan soluciones para simplificar la firma de zonas DNSSEC y la administración de claves. También necesitan una forma de indicar la validación DNSSEC a los usuarios finales, tal vez mediante una pista visual en los navegadores web. Volver arriba

¿Qué es el Verisign DNSSEC Interoperability Lab? 
El Verisign DNSSEC Interoperability Lab permitía a los miembros de la comunidad de TI probar la compatibilidad de sus componentes de infraestructura de empresa y de Internet con DNSSEC.

Usando esta instalación de prueba, los proveedores de hardware y desarrolladores de software podían determinar qué impacto, si es el caso, tendría DNSSEC en las soluciones y servicios que ofrecen. Volver arriba

¿Cómo pueden los operadores de sitios web (registrantes) habilitar DNSSEC? 
DNSSEC se basa en una jerarquía de confianza. Las entidades en niveles superiores de la jerarquía responden por las entidades que tienen debajo. Esto significa que la entidad que proporcionó el nombre de dominio del operador de un sitio web (por lo general un registrador, ISP o servicio de alojamiento DNS) debe implementar DNSSEC antes de que el operador del sitio web pueda activar el funcionamiento.

Al habilitar DNSSEC en su sitio web, los operadores de sitios web deben firmar digitalmente su información de nombre de dominio. En la mayoría de casos, simplemente realizarían este proceso en el momento de registrar su nombre de dominio. Si ya tienen registrado su nombre de dominio y deciden implementar DNSSEC en su zona, su registrador preparado para DNSSEC debería tener un proceso para modificar los registros de zona tras el registro inicial.

Algunas organizaciones pueden necesitar administrar partes del proceso de DNSSEC internamente por razones de seguridad o de conformidad. En este caso, habilitar DNSSEC resultará más complejo. Volver arriba

¿Qué papel juegan los diseñadores de políticas en el éxito de DNSSEC? 
DNSSEC es más efectivo cuanto más universal sea su implementación, comenzando por el alto nivel de la jerarquía de Internet (la zona raíz y los dominios de nivel superior) y descendiendo hasta los nombres de dominio individuales. De modo parecido a otras campañas internacionales, DNSSEC necesita la participación activa y coordinada de muchas organizaciones y países.

La dimensión, complejidad e impacto de un esfuerzo global en DNSSEC sugieren que los diseñadores de políticas en el gobierno y en el sector privado juegan un papel esencial en el éxito de DNSSEC. Con su trabajo a nivel nacional e internacional en telecomunicaciones, estándares técnicos, comercio, cumplimento de la ley y seguridad y defensa nacional, los diseñadores de políticas cuentan con la visibilidad, influencia y alcance para afectar positivamente al momento y el curso de DNSSEC. Volver arriba

¿NECESITA MÁS INFORMACIÓN?

Avisos legales// Privacidad// Depósito// Contacte con nosotros// Mapa del sitio


© 2011-2013 VeriSign, Inc. Todos los derechos reservados.
VERISIGN, el logotipo de VERISIGN y otras marcas comerciales, marcas de servicios y diseños son marcas registradas o no registradas de VeriSign, Inc. y de sus subsidiarias en los Estados Unidos y en otros países. Todas las demás marcas comerciales son propiedad de sus respectivos dueños.