Inicio / Blog / Nuevos dominios genéricos gTLDs. Amenazas y protecciones

Nuevos dominios genéricos gTLDs. Amenazas y protecciones

Publicado el 12/03/2014, por Antonio López (INCIBE)
Nuevos dominios genéricos gTLDs. Amenazas y protecciones

Historia y evolución del programa de nuevos dominios genéricos.

El lanzamiento de nuevos dominios genéricos de nivel superior, conocidos como gTLD (generic Top Level Domains), supondrá uno de los mayores cambios en el espacio DNS desde su nacimiento. Así, en las últimas 11 semanas el número de gTLDs ha multiplicado por 5 el número existente en los últimos 25 años. Esta expansión, que en pocos meses situará en número de dominios genéricos disponibles por encima del millar, trae consigo una serie de circunstancias que pueden afectar a asuntos relacionados con la seguridad de usuarios y de compañías con presencia en internet.


La ICANN, Corporación de Internet para la Asignación de Nombres y Números encargada actualmente de las tareas de organización del espacio de nombres y direcciones IP de internet, comienza en 2005 a desarrollar la política de nuevos gTLDs . Esta iniciativa arranca partiendo de dos tests de alta de nuevos dominios realizados en 2000 (.aero, .biz, .coop, .info, .museum, .name y .pro) y 2003 (.asia, .cat, .jobs, .mobi, .post, .tel, .xxx y .travel).
A partir de esta prueba inicial la evolución temporal del proyecto ha seguido la siguiente línea temporal:

  • En 2008 se aprueban una serie de recomendaciones y criterios para la implementación de nuevos gTLDs que acabará consolidándose en 2011 en la guía Applicant Guidebook. En la guía se proporcionan los pasos, y se especifica la información, documentación, acuerdos legales y financieros para implementar un nuevo gTLD.
  • En enero de 2012 se abre la ventana de solicitud de nuevos dominios y se reciben 1930 solicitudes. En diciembre del mismo año la ICANN establece un criterio para determinar el orden de aplicación en la etapa de evaluación inicial y subsiguientes fases.
  • En marzo de 2013 publica la primera evaluación para, a mediados de año comenzar la contratación en el orden establecido. Para apoyar esta etapa, la ICANN pone en marcha también la Trademark Clearinghouse. A través de Trademark Clearinghouse los propietarios de marcas incluyen los datos de sus marcas en una base de datos centralizada, antes del lanzamiento de los nuevos gTLD y durante los mismos. Con ello se ayuda a protegerse de amenazas contra la propiedad intelectual y otras actividades potencialmente infractoras que pueden derivarse de la expansión de gTLDs.
  • El 25 de febrero de 2014 el número de gTLDs registrados se situaba por encima de los 400. En los próximos meses, se estima que la cifra superará los 1300 gTLDs. La lista actualizada de TLDs puede consultarse en https://data.iana.org/TLD/tlds-alpha-by-domain.txt

 

project gTLD
Ilustación 1. Línea temporal de la evolución de los nuevos gTLDs

 

Problemas y amenazas derivados del registro de nuevos gTLDs

Colisión de dominios

DNS es un espacio de nombres jerárquico compuesto por una o más etiquetas separadas por un punto “.” para especificar un dominio. Un registro DNS completo, denominado FQDN (Fully Qualified Domain Name) es aquél que identifica un recurso concreto en el espacio de nombres y direcciones DNS de internet. En la parte superior de la estructura jerárquica DNS y dependiendo inmediatamente de la zona raíz, se sitúan los dominios de nivel superior o TLDs (Top Level Domains). Estos TLDs tales se categorizan según su papel en: geográficos o ccTLDs, que se reservan para dominios de países, como .es para España, .fr para Francia, .uk para Reino Unido etc., patrocinados o sTLD, como .aero o .museum y otros. Los dominios de uso genérico se denominan gTDLs y son de los que trataremos en este artículo.

Además del registro DNS en internet, una compañía puede diseñar e implementar su propio dominio interno que es invisible en internet y solo es válido para la red interna. Estos dominios no deben existir en internet pues en ese caso puede producirse una “colisión” y resolverse el dominio a una IP de internet cuando se pretendía obtener una IP interna

Por ejemplo, supongamos que una compañía cuenta en su servidor DNS con un dominio interno “.miempresa”. Los empleados de la compañía tendrán sus clientes DNS configurados para añadir ese sufijo cuando se solicitan dominios no completos (listas de búsqueda). Así, si solicitan nombres como “www.red” ó “mail”, resolverán “www.red1.miempresa” o “mail.miempresa” ya que la configuración del software añade, el sufijo de la lista de búsqueda para completar la petición. Pero, ¿ qué ocurre si se registra un nuevo gTLD como “.miempresa” ?. En este caso puede suceder que si un empleado solicita “servidor.miempresa” , dependiendo de la configuración de cliente y/o servidor DNS interno, su consulta podría filtrarse a internet cuando se pretendía obtener una IP de red interna. Al existir el dominio gTLD “.miempresa” en internet, la resolución apuntará al lugar equivocado, con el consiguiente riesgo de seguridad. La variedad de aplicaciones y sistemas operativos, unido a los distintos comportamientos a la hora de añadir sufijos de búsqueda en la resolución DNS, hace que, en general, dicho comportamiento sea imprevisible. Puede ampliarse información consultando el artículo New gTLD Concerns: Dotless Names and Name Collisions publicado por el centro de coordinación de registradores RIPE.

 


Ilustración 2. Anuncio de la ICANN sobre la expansión de gTLDs

 

Consecuencias de la colisión de dominios

Las colisiones de nombres debido a consultas que se filtran al DNS global desde redes privadas, pueden tener muchas consecuencias no deseadas. Cuando una consulta obtiene una respuesta positiva pero que procede de internet en lugar del espacio de nombres privado, la aplicación que ha efectuado la consulta se intentará conectar a una dirección IP de un sistema que no forma parte de la red privada. Esto puede suponer un grave problema de seguridad que puede ser explotado con un dominio maliciosamente escogido en un gTLD apropiado.
Los sistemas y aplicaciones afectados por la colisión de nombres cuando se especifican nombres no FQDN y que deben ser revisados son:

  • Navegadores – los navegadores permiten especificar servidores proxy que a menudo se encuentran en la red privada. Otras configuraciones como páginas de inicio y lugares de revocación de certificados pueden verse afectados por la colisión.
  • Servidores web.- algunos servidores pueden servir recursos o contener enlaces a nombres de hosts internos.
  • Servidores y clientes de correo electrónico – revisar las configuraciones verificando que especifican nombres completos o IPs específicas para reducir la posibilidad de un filtrado de la resolución y una colisión.
  • Certificados – comprobar si las aplicaciones utilizan certificados X.509 donde se referencian nombres breves no cualificados para obtener la información de revocación de certificados SSL/TLS.
  • Dispositivos de red – Firewalls, concentradores de logs, servidores DHCP, servidores VPN, etc. han de ser revisados concienzudamente para evitar un problema de colisión.
  • Dispositivos móviles –Teléfonos móviles y tabletas pueden tener configuraciones parecidas a los casos anteriores y deben revisarse.


Con objeto de identificar qué consultas de TLDs podrían ser susceptibles de ser filtradas desde redes privadas, la ICANN llevó a cabo una monitorización de consultas inválidas que llegaban a los servidores raíz desde redes privadas. Este informe se encuentra disponible en http://www.icann.org/en/groups/ssac/documents/sac-045-en.pdf. Tras el análisis de los logs recogidos se observaron peticiones de TLDs no válidos que pueden considerarse como futuras fuentes de colisiones de alto riesgo, entre ellos .home, .lan o .corp.

Cibersquatting

El cibersquatting no es un fenómeno nuevo pero con el inminente crecimiento de gTLD puede llegar a ser un problema para aquellas compañías que pretender proteger sus marcas. El término cibersquatting se utiliza para referirse al hecho de registrar dominios con nombres de marcas o compañías existentes con la intención de extorsionar a los propietarios o sacar provecho de su uso. Las oportunidades de realizar estas prácticas con la explosión esperada de nuevos gTLDs se verán multiplicadas en los próximos meses. Por ello es importante que los propietarios de marcas, compañías o negocios sean conscientes del problema y actúen en previsión para proteger sus derechos de prioridad sobre los registros.
A este efecto, la ICANN proporciona un procedimiento de disputa para actuar en caso de infracción de derechos de una marca. El Post-Delegation Dispute Resolution Procedure (PDDRP) recoge las reglas y condiciones para la disputa y los mecanismos de actuación

 


Ilustración 3. Trademark Clearinghouse, gestora de derechos de marcas en el crecimiento de los gTLDs