Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog
@isitreallysafe

@isitreallysafe

Pues sí, le pasó a Bancolombia. El dominio bancolombia.com expiró. Como parte natural de su proceso de expiración su resolución fue interrumpida y esto implicó que los dispositivos de los usuarios no podían encontrar el sitio web del banco, no sabían en dónde encontrar sus servidores de email (es decir, no se podía enviar email hacia o desde bancolombia.com) y cualquier otro servicio en línea asociado al dominio simplemente dejó de funcionar – o eso percibieron sus usuarios.

No es la primera vez que le pasa a una compañía grande ni será la última. Pero, ya que ocurrió, quise recordar algunas recomendaciones básicas dirigidas a quienes administran portafolios de nombres de dominio:

En cuanto a los servicios de proxy y de privacidad

Las compañías comerciales cuyos datos de registro son públicos (como el certificado de existencia y representación en Colombia) no necesitan registrar sus dominios detrás de servicios de proxy y de privacidad. Son libres de hacerlo, pero usar estos servicios no les representa ventaja alguna y más bien puede eventualmente implicar una dificultad operacional.

¿Qué sentido tiene que una compañía grande y reconocida registre su dominio tras el nombre de una tercera empresa para esconder su propio nombre? Todos los clientes de esa empresa, y su entorno de negocios, saben que el dominio es de esa empresa. Y tienen derecho de saber cómo está siendo administrado el dominio porque finalmente ellos interactúan con él para realizar transacciones que involucran su dinero, dinero que les pertenece a ellos, no a esa empresa. Así que, ¿por qué no dejar el nombre de la empresa como registrante si la comunidad de usuarios sabe que el dominio es de ella y ella quiere generar más confianza en sus usuarios?

Por otro lado, si un servidor en el que se aloje contenido del sitio web asociado al dominio es comprometido por un atacante y, supongamos, es utilizado para distribuir malware o como comando y control de una botnet, tarde o temprano alguien en la comunidad de seguridad va a detectarlo y a intentar contactar al responsable del dominio. Pero, por estar registrado tras ese servicio de privacidad, no podrá contactar a la empresa directamente sino a ese tercero que debería reenviar la comunicación a la empresa.

Y, siendo honestos, pasa con frecuencia que esos terceros (los servicios de privacidad) no reenvían las comunicaciones a sus clientes. Algunos incluso ofrecen por defecto nunca hacerlo. Y si seguimos con el ejemplo del servidor de hosting comprometido, la empresa seguiría operando un servidor comprometido que continuaría distribuyendo malware o siendo el comando y control de una botnet. No sería una situación ideal para una empresa que quiera mantener sus activos informacionales con un nivel alto de reputación.

Respecto de la veracidad en la información de Whois

Whois, para quienes no lo conocen, es un protocolo que permite consultar las bases de datos de quienes han recibido la administración o la asignación de identificadores únicos de Internet, que pueden ser dominios o bloques de direcciones IP. Existen muchas bases de datos de Whois, que son administradas por muchas empresas en muchos países, pero todas usan el mismo protocolo.

La información de Whois para cada dominio incluye teléfono, dirección física, email y nombre tanto para el registrante del dominio (que es quien se puede considerar como el dueño del dominio*) como para los contactos administrativo, técnico y de facturación, si lo hay. Es obligación de cada registrante incluir información veraz que pueda ser usada para contactarlo. Si la información no es veraz y exacta, el registrador correspondiente (es decir, la empresa que fue acreditada por ICANN para registrar dominios) puede suspender o cancelar el dominio.

Un mínimo que los usuarios pueden esperar de las empresas del sector financiero, o de cualquier empresa en realidad, es que incluyan información útil, veraz y exacta en el Whois de sus dominios. Que una empresa grande, respetable y con cientos de miles de clientes deje campos vacíos en el Whois (ciudad, departamento/estado, país) o que incluya como número de teléfono algo como +54.9999999999, deja mucho que desear.

Respecto de los servidores de resolución

Los servidores de resolución le informan a todo el Sistema de Nombres de Dominio las direcciones IP en las que están disponibles los recursos asociados a cada dominio. Por ejemplo, el servidor ns.icann.org es uno de los varios servidores de resolución del dominio icann.org.

Un mismo servidor puede proveer resolución para muchos dominios. Y muchas empresas pueden usan un único set de servidores para la resolución de todos los dominios que hacen parte de sus portafolios.

En un escenario ideal, cada dominio debe tener al menos dos servidores de resolución y esos servidores deben estar en direcciones IP que hagan parte de ASs diferentes (un AS o Autonomous System, es un bloque de direcciones asignado generalmente a un proveedor de acceso a Internet o a empresas grandes que tienen una infraestructura de redes importante). Si un dominio solamente tiene un servidor de resolución o si tiene dos o más pero todos están bajo el mismo AS, un ataque de denegación de servicio no muy grande puede sacar del aire al servidor de resolución (o a los servidores, si son varios) y dejar al dominio sin resolución.

Y si el dominio deja de resolver, los usuarios creerán que el sitio web está caído y no podrán enviar ni recibir email asociado al dominio, entre otras cosas.

En otras palabras, evite que todos sus dominios queden sujetos a un single point of failure.

Respecto de los contactos de Whois

Las compañías no deberían listar nombres de personas naturales como contactos en el Whois de sus dominios. Debería aparecer siempre el nombre de la compañía (en el campo ‘Registrant Organization’), pudiendo estar acompañado por el nombre de un departamento o un rol genérico como ‘Administrador de Dominios’ o ‘Departamento de Marcas y Dominios’ (en el campo ‘Registrant Name’ o para los nombres de ‘Admin Contact’, ‘Tech Contact’ y ‘Billing Contact’).

Listar el nombre de una persona natural en el Whois es exponerla innecesaria y tontamente a que sea objeto de ataques de ingeniería social, dirigidos por quienes busquen robar el dominio. Además, si el nombre de una persona natural aparece como registrante o como administrador del dominio y esa persona cambia de empleador o simplemente pierde su empleo, podrá llevarse el dominio consigo y le tocará a la compañía iniciar un procedimiento vía UDRP o negociar con esa persona directamente.

Respecto de evitar el phishing

Los delincuentes envían email que parece ser enviado por entidades del sector financiero, o de entidades estatales o de marcas reconocidas, esperando engañar a sus víctimas y convencerlas de hacer click en un link para comprometer sus dispositivos, robar sus credenciales de acceso a servicios financieros o a sus cuentas en redes sociales, entre otras razones.

Las entidades públicas y las compañías pueden ayudar a disminuir la cantidad de ‘spoofed email’ que circula en Internet y que, específicamente, pretende dañar a sus clientes o usuarios. Para hacerlo solamente deben implementar tres medidas tecnológicas que incluyen la adición de determinados registros en la información de DNS de sus dominios.

Estos registros no son más que líneas de texto que le informan al mundo entero cuáles son los únicos servidores de correo que están autorizados para enviar email usando el dominio correspondiente. Las medidas tecnológicas a las que me refiero, que son de tres clases, se llaman SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-Based Authentication, Reporting and Conformance).

Los sectores financiero y público deberían, francamente, implementar DMARC en todos sus dominios. Al hacerlo, implementan SPF y DKIM y protegen a todos los usuarios frente a los delincuentes que quieran enviar email que parezca venir de los dominios de los bancos o las entidades públicas.

Conclusiones

La correcta administración de un dominio, o de un portafolio de dominios, asegura que los servicios en línea ofrecidos por las compañías o las entidades públicas a sus usuarios no sean interrumpidos debido a una interrupción en el funcionamiento normal del dominio y de los servicios asociados a él. La no interrupción en la resolución de un dominio garantiza que, por lo menos en lo que concierne al dominio, los servicios en línea asociados a él continúen siendo prestados de manera continua y que la reputación de la empresa o entidad no se vea afectada negativamente por interrupciones o degradaciones en el nivel de servicio.

Un olvido o un descuido que termine en la expiración de un dominio, si bien pasa con alguna frecuencia, puede tener consecuencias muy negativas para las compañías. Ni hablar de las consecuencias que puede tener para la persona que dejó que el olvido o el descuido tuviera lugar.

Administrar un portafolio de dominios requiere un poco más de estrategia de lo que usualmente se piensa. Y esa estrategia debe ser suficientemente pensada, discutida y acordada, no debe ser un algo tácito que nadie conoce y que está lleno de vacíos. Debe constar por escrito y debe tener recursos asignados, responsabilidades, procesos, tiempos y sanciones por no cumplimiento.

Administre el portafolio de dominios de su compañía de manera que nunca la exponga a un golpe reputacional o a sus clientes a un golpe financiero que no tienen por qué soportar. Entienda que los dominios son la puerta a través de la que el mundo entero accede a su presencia en línea. Si los dominios no operan de manera normal y esa puerta se cierra, nadie podrá encontrar los recursos en línea de su empresa a través del DNS ni hacer uso de ellos.

(*Existe toda una discusión -que está lejos de ser resuelta- respecto de si existen derechos de propiedad sobre los nombres de dominio.)

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe

(Visited 2.550 times, 1 visits today)
PERFIL
Profile image

    Sigue a este bloguero en sus redes sociales:

  • twitter

Más posts de este Blog

  • Mundo

    LATAM CISO: Regional Cybersecurity Network

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Under the auspices of Venable, LLP, a law and lobbying firm in Washington, D.C.,(...)

  • Mundo

    Rusia, ¿robando tráfico de Apple?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Según información publicada por BGPmon, Rostelecom, el más grande proveedor de conectividad ruso, estuvo(...)

  • Mundo

    LATAM CISO: Red de ciberseguridad a nivel regional

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Bajo el auspicio de Venable, LLP, una firma de abogados y lobbying con sede(...)

  • Colombia

    Mi empresa fue hackeada: ¿reporto a la policía?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] En el blog que publiqué hace unas semanas, titulado “De la cíberseguridad pasiva a(...)

Ver más

Lo más leído en Blogs

1

¿Casa-logía?    Uno es lo que es. A los 15 años(...)

2

Comienzo por lo que me trajo aquí:



Me encantan, estos avances. Me encantan.

The interpreter (para nosotros, La intérprete, y como cosa rara, el título en español significa lo mismo que en el idioma original) es un filme dirigido por el estadounidense Sydney Pollack, estrenado en cines en dos mil cinco. El guión condujo a Pollack a grabar en las propias instalaciones de la ONU (localizadas en territorio internacional dentro de Nueva York), una historia con tintes políticos que recuerdan la situación más o menos reciente del actual presidente de Zimbabwe.

Estaba viendo hace unas horas cierta película francesa realizada exclusivamente para televisión hace unos años, no muy conocida por cierto, y me asaltó una duda que tenía desde hace un tiempo y que se avivó luego de ver La intérprete. La duda es la siguiente:

Lo más seguro es que todos conozcamos el aviso que aparece, usualmente escondido al final de los créditos de algunas películas, que dice lo siguiente, palabras más, palabras menos: "Los hechos relatados en esta película son puramente ficticios y no deben relacionarse con eventos pasados, actuales o futuros. (...) Cualquier parecido con la realidad es pura coincidencia."
Yo me pregunto: luego de ver una película que parece un documental acerca de una situación actual, ya sea ésta una realidad o no, ¿qué sentido tiene recurrir a este mensaje, si de cualquier manera los espectadores van a hacer la relación?

Es claro, hay que decir, que no todo el mundo tiene por qué captar estos parecidos. Pero los que sí los captan, lo comunican a los demás, y al final la película pasa a verse como lo que realmente es: una crítica por parte del realizador hacia una situación en particular. Punto. No importa qué tan imparcial se pretenda ser, haciendo uso del mencionado avisito.

En fin, no entiendo esta actitud, si de verdad algunos pretenden protegerse bajo dicho mensaje. Quisiera creer que lo colocan no porque no pretendan dar la cara luego de dar la opinión, sino porque es una especie de requisito, un asunto legal de obligatoria aparición al final de todos los créditos de todas las películas de todos los géneros. Aunque al final, sólo quien tuvo la idea de escribir la historia como quedó escrita es quien sabe qué opinión tiene.

Él y sólo él.

-

Sobre la película, hay un dato lingüístico interesante; se creó un lenguaje nuevo (lo llamaron "Ku"), con sus propias palabras, conjugaciones, reglas... es decir, un lenguaje aparte, sostenible por sí solo, basado en lenguajes existentes en el sur de África, pero que "aunque sería reconocido por habitantes de la zona (...), los confundiría", debido a su estructura gramatical, leo por aquí. En todas partes encuentro que el creador de este lenguaje es Said el-Gheithy, director del Centre for African Language Learning en Londres. En general, no encuentro muchas críticas positivas para la película, pero a mí me gustó.

Me encanta leer la columna Contravía, escrita por Eduardo Escobar. Y la de hoy termina con una reflexión que encuentro parecida a cierto diálogo de La intérprete. Aquí va el diálogo, para terminar y dejar de ocupar su tiempo, estimado lector. Lo traduzco burdamente, pero espero que se mantenga la idea.

Silvia Broome: (...) Siempre que alguien pierde a un ser querido, quiere vengarse de alguien más, o de Dios, a falta de alguien. Pero en África, en Matobo, los Ku creen que la única manera de poner fin al dolor es salvando una vida. Si alguien es asesinado, luego de un año de duelo se realiza un ritual llamado "la fiesta del ahogado". Se hace una fiesta durante toda la noche, junto al río. Al amanecer, el asesino es montado en un bote. Se lleva al agua y se le tira allí, amarrado, para que no pueda nadar. Entonces la familia doliente debe tomar una decisión; pueden dejar que se ahogue, o pueden lanzarse a salvarlo. Los Ku creen que si la familia deja que el asesino se ahogue, se hará justicia, pero pasarán el resto de sus vidas de duelo. Pero si lo salvan, entonces admitirán que la vida no siempre es es justa, y a cambio ese acto los liberará del dolor.


dancastell89@gmail.com

3

[audio src="https://co.ivoox.com/es/30-primera-radio-whatsapp_md_20668488_wp_1.mp3"] Radio en entornos digitales: experiencias de segmentación en aplicaciones(...)

0 Comentarios
Ingresa aquí para que puedas comentar este post
Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar