Europa está a punto de matar la base de datos WHOIS. En una carta enviada a ICANN, la entidad responsable del DNS y WHOIS, las autoridades europeas de protección de datos le han comunicado que pasará a ser ilegal en Europa tras la entrada en vigor del cumplimiento obligatorio del Reglamento General de Protección de Datos de la Unión Europea (GDPR) el próximo 25 de mayo.
WHOIS es un protocolo que permite encontrar los nombres y los datos de las personas propietarias de un dominio. Fue creada por ICANN por los años ochenta, y es una base de datos pública. Esto hace que cuando se detecta una actividad maliciosa en una web, suela ser uno de los primeros recursos de las autoridades o investigadores para saber quién está detrás de ella.
Sin embargo, el problema está en que WHOIS recopila y publica el nombre, dirección y teléfono de cualquier propietario de un dominio sin el consentimiento explícito de esta persona. El GDPR prohíbe publicar sin permiso datos personales que permitan identificar usuarios, por lo que la base de datos tal cual funciona ahora dejará de ser legal.
A partir de ahora, ICANN tendrá sólo un mes para buscar una manera de reemplazar o modificar un servicio que lleva siendo utilizado varias décadas, y que contiene millones de datos de dominios e información de contacto de quienes los han registrado. Pero la organización sin ánimo de lucro ya ha dicho que no podrá hacerlo.
La pereza le ha metido en un aprieto a ICANN
ICANN lleva desde el año 2012 hablando de una versión privada de WHOIS que no exponga los datos personales públicamente. Pero a día de hoy todavía no ha conseguido hacerla efectiva, ni siquiera cuando el GDPR entró en vigor en 2016, y desde entonces sabían que tendrían dos años por delante hasta que fuese de obligado cumplimiento.
Durante estos dos años, la ICANN ha tenido reuniones semanales para intentar buscar una solución, pero esta no ha llegado. Y ahora con el tiempo apremiándoles, le han solicitado formalmente al grupo de trabajo del Artículo 29 (WP29), que son los encargados de revisar el cumplimiento de la norma, que les den una excepción temporal de un año para WHOIS con la que evitar su fractura y que acabe muriendo.
Sin embargo, en la carta recibida por parte de las autoridades europeas, este grupo de trabajo WP29 les responde que "consideran de suma importancia que ICANN reconsidere o evalúe aún más su enfoque actual". Vamos, que les han venido a decir que no tienen intención de darles más tiempo para cumplir con la ley.
"A menos que haya una moratoria, es posible que ya no podamos dar instrucciones a las partes contratadas a través de nuestros acuerdos para mantener WHOIS", han respondido de nuevo desde ICANN en un post de su blog. "Sin una resolución de estos problemas, el sistema de WHOIS se fragmentará. ... Un WHOIS fragmentado ya no emplearía un marco común para los servicios de directorio de registro genéricos de dominio de primer nivel (gTLD)".
Esto querría decir que WHOIS posiblemente acabaría muriendo, y que investigadores y fuerzas policiales se quedarían sin una de las herramientas más importantes de las que disponen para combatir el cibercrimen. La pereza de ICANN acabará pasándonos factura a todos, y para colmo Estados Unidos ha empezado a expresar su preocupación por quienes empiezan a cumplir con la ley.
Estados Unidos se posiciona en contra
Algunos servicios de registro de dominios como GoDaddy ya han empezado a bloquear el acceso público a algunos datos del WHOIS para evitar las multas del 4% de su facturación que les impondrían en Europa. Sin embargo, el gobierno de Estados Unidos ha entrado en juego diciendo que están preocupados por el movimiento de GoDaddy, y le han solicitado a ICANN que los investigue.
Al gobierno estadounidense le preocupa que el movimiento de GoDaddy acabe siendo imitado por otras empresas de registro de dominio, unas acciones que crearían problemas para los investigadores. Vamos, que no están nada contentos de que los datos completos de WHOIS dejen de ser públicos.
Esto quiere decir que el ICANN no podrá cambiar el WHOIS a tiempo para cumplir con la GDPR, por lo que a las empresas registradoras de dominio no les quedará otra solución que enmascarar parte de esta información por ellos mismos. Sin embargo, quienes intenten cumplir con las leyes europeas se encontrarán con la administración Trump presionándoles con que no lo hagan. Estaremos atentos para ver cómo van evolucionando los hechos en este próximo mes.
Imagen | Dennis van der Heijden
En Xataka | GDPR/RGPD: qué es y cómo va a cambiar internet la nueva ley de protección de datos
Ver todos los comentarios en https://www.xataka.com
VER 19 Comentarios