Los DNS son uno de los elementos clave para conseguir que Internet funcione como debe. Los 'Domain Name System' convierten direcciones como Xataka.com en direcciones IP numéricas que los ordenadores puedan entender, lo que convierte a esta tecnología en la llave maestra de Internet.
Las llaves de acceso a los ordenadores que controlan el DNS son única y exclusivamente controladas por la ICANN. Se trata del organismo que protege Internet, y como si de una película de espías se tratase, lo hace con 7 llaves de acceso a su ordenador principal que reparte entre 14 personas. Los auténticos guardianes de la red de redes.
Salvo contadas excepciones, cada tres meses desde el 2010 los guardianes de las siete llaves se reúnen cuatro veces al año para realizar una especie de ritual de seguridad en el que se actualizan y verifican las claves que les permiten tener acceso al dispositivo que genera todas las claves maestras de Internet, las claves con las que acceder a la base de datos principal del ICANN.
¿Y qué pasaría si alguien con malas intenciones consiguiera acceder a esta base de datos del ICANN? Básicamente que tendría el control de Internet, y que por ejemplo podría enviarnos a direcciones fraudulentas cuando escribiéramos la URL de una web. Podemos imaginarlo como un phishing a niveles épicos, puedes escribir la dirección de tu banco y que te lleven a una cuenta fraudulenta en la que te roban las credenciales. Afortunadamente, la ICANN es bien consciente del relevante papel que juega en la seguridad de la red.
El ritual de las siete llaves
La ICANN tiene siete llaves físicas que reparte a catorce personas, de las cuales siete son portadores "titulares" y los otros siete se quedan como suplentes. Estas llaves dan acceso a cajas de seguridad, dentro de las cuales están las tarjetas criptográficas con las que generar una nueva SKR (Signed Key Response), la cual a su vez contiene nuevas claves que habrá que distribuir por Internet para asegurar los sistemas DNS.
Pero el proceso no es tan sencillo como parece, ya que antes de llegar al ordenador principal para generar la nueva SKR hace falta pasar todo un ritual de seguridad. Los portadores de las llaves tienen que superar una serie de puertas bloqueadas con claves de acceso y escáneres de manos hasta llegar a una sala asegurada para que no se puedan realizar comunicaciones electrónicas, y en esa sala es donde se actualizan las claves.
Todo el evento está guionizado, y es grabado y auditado metódicamente. Es más los pasos que tienen que seguir los participantes han sido descritos y distribuido entre los asistentes y participantes para que cualquiera pueda detectar que algo no se está haciendo como debería. Una vez acabada la ceremonia todo es más casual y estos "dueños de Internet" se van de cena a un restaurante.
En un ejercicio de transparencia, la ICANN publica los guiones de cada ceremonia y la retransmite por streaming a todo el mundo para que todo el que quiera pueda ser testigo de cómo se escenifica el cuidado de la red.
Root KSK Ceremony 43 celebrada el 14 de octubre de 2021. Imagen: IANA
La última ceremonia se realizó el pasado octubre, con una participación mínima para intentar limitar los riesgos asociados a la Covid-19. Precisamente la pandemia ha roto el estable calendario de la ICANN para realizar estos actos.
En febrero de 2020, la IANA (Internet Assigned Numbers Authority), organización responsable afiliada a la ICANN, explicó que se tuvo que posponer la reunión porque una de las cajas fuertes que formaban parte de la actualización se atascó. Afortunadamente la seguridad de internet no se vio afectada, porque no hay ningún impacto considerable si no se han actualizado estas claves. Pero como suele recomendarse siempre en materia de ciberseguridad: un sistema actualizado es un sistema mejor preparado.
Ver 42 comentarios
42 comentarios
shaanxi
Todo súper secreto, ceremonia tipo illuminati... pero luego se van a un restaurante a cenar todos juntos? jajajaja, como sea cierto, vaya mierda de guardianes! Llega el Dr. Maligno y los secuestra a todos allí mismo.
Sólo tenemos que aprendernos directamente las IPs y no necesitaremos DNS... pero a día de hoy, quién seria capaz de llamar por teléfono a 5 amigos marcando directamente el número, sin utilizar la agenda del teléfono? Nadie! Pues eso...
thorstorm
Esto es material para una película, serie o videojuego
vegaquark
Nadie va a hablar de ethereum o namecoin, o etherid?
Tener todavía centralizado un sistema tan crítico es ridículo.
La red blockchain de bitcoin ya ha demostrado que la seguridad distribuída funciona (bastante bien por cierto para ser un experimento)
Yo creo que deberíamos empezar a pensar en esto mas en serio, y dejar de someter cosas tan críticas al poder de unos pocos.
Al fin y al cabo, la red de confianza que establece el sistema dns es como una pirámide boca abajo, y si falla la punta (el icann) se desmorona todo.
En un sistema distribuido deberían fallar mas de la mitad de los nodos (es decir, la mitad de la población mundial a fin de cuentas) y desde mi humilde punto de vista, me parece mas fácil que falle un grupo reducido de gente por muy inteligente y preparada que sea.
MrKarate
No sé porque me ha venido a la mente el episodio de los Informáticos (The IT crowd), en el que le entregan a Jen al "poderoso Internet", que está en una cajita, para que pueda dar una conferencia frente a la directiva de su organización.
Nauhr
Dejo el enlace al vídeo para quien quiera verlo ya que lo han puesto mal: https://www.youtube.com/watch?v=b9j-sfP9GUU
anelsyjrp
Esta historia es digna de hacerle un capítulo en South Park. Vamos que todo esto de las siete llaves y ese "ritual" cada tres meses tipo iluminatis es bien gracioso.
nachomartr
¿Cómo que irse de cena? Por seguridad, no deberían estar todos juntos en el mismo sitio.
hispaniafer
Entonces si falla el proceso o sucede algo, podrian cargarse el internet? Menudo peligro, algun dia fallara y menudo problema tendremos xD espero que suceda en siglos y no cada poco tiempo
Flycow
Entiendo poco y nada ¿que hace ICANN si tengo configurados los DNS de Google y Twitter por ejemplo usa DynDNS? ¿Para que se usa esa llave crptografica maestra que van a cambiar? ¿Por que la van a cambiar?
whisper5
(NOTA: lo de 'streaminga' suena divertido)
darkyevon
Bueno... es mucho mas probable que consigan hackear el servidor dns de tu isp, o cualquiera de la cadena que esté por encima de estos. Me vengo a imaginar que los DNS raiz tan solo son accesibles por otro nivel de servidores DNS, y su acceso no es público en internet, por lo que su hackeo significaría que antes se ha conseguido hackear una pirámide entera de servidores DNS.
dayb
Domain Name SERVER
perenganez
¿Siete llaves maestras y una para controlarlas a todas?.
Hum... ¿De que me suena esto a mi?...
"miiii.... tesooooooro!"
Ari
En la 6ta temporada de Arrow, se trata específicamente de este tema y de un villano que consigue infiltrarse en ese lugar.
valentinblanco
Donde se echa el curriculum para ese trabajo? Pinta muy bueno