Pues sí, le pasó a Bancolombia. El dominio bancolombia.com expiró. Como parte natural de su proceso de expiración su resolución fue interrumpida y esto implicó que los dispositivos de los usuarios no podían encontrar el sitio web del banco, no sabían en dónde encontrar sus servidores de email (es decir, no se podía enviar email hacia o desde bancolombia.com) y cualquier otro servicio en línea asociado al dominio simplemente dejó de funcionar – o eso percibieron sus usuarios.
No es la primera vez que le pasa a una compañía grande ni será la última. Pero, ya que ocurrió, quise recordar algunas recomendaciones básicas dirigidas a quienes administran portafolios de nombres de dominio:
En cuanto a los servicios de proxy y de privacidad
Las compañías comerciales cuyos datos de registro son públicos (como el certificado de existencia y representación en Colombia) no necesitan registrar sus dominios detrás de servicios de proxy y de privacidad. Son libres de hacerlo, pero usar estos servicios no les representa ventaja alguna y más bien puede eventualmente implicar una dificultad operacional.
¿Qué sentido tiene que una compañía grande y reconocida registre su dominio tras el nombre de una tercera empresa para esconder su propio nombre? Todos los clientes de esa empresa, y su entorno de negocios, saben que el dominio es de esa empresa. Y tienen derecho de saber cómo está siendo administrado el dominio porque finalmente ellos interactúan con él para realizar transacciones que involucran su dinero, dinero que les pertenece a ellos, no a esa empresa. Así que, ¿por qué no dejar el nombre de la empresa como registrante si la comunidad de usuarios sabe que el dominio es de ella y ella quiere generar más confianza en sus usuarios?
Por otro lado, si un servidor en el que se aloje contenido del sitio web asociado al dominio es comprometido por un atacante y, supongamos, es utilizado para distribuir malware o como comando y control de una botnet, tarde o temprano alguien en la comunidad de seguridad va a detectarlo y a intentar contactar al responsable del dominio. Pero, por estar registrado tras ese servicio de privacidad, no podrá contactar a la empresa directamente sino a ese tercero que debería reenviar la comunicación a la empresa.
Y, siendo honestos, pasa con frecuencia que esos terceros (los servicios de privacidad) no reenvían las comunicaciones a sus clientes. Algunos incluso ofrecen por defecto nunca hacerlo. Y si seguimos con el ejemplo del servidor de hosting comprometido, la empresa seguiría operando un servidor comprometido que continuaría distribuyendo malware o siendo el comando y control de una botnet. No sería una situación ideal para una empresa que quiera mantener sus activos informacionales con un nivel alto de reputación.
Respecto de la veracidad en la información de Whois
Whois, para quienes no lo conocen, es un protocolo que permite consultar las bases de datos de quienes han recibido la administración o la asignación de identificadores únicos de Internet, que pueden ser dominios o bloques de direcciones IP. Existen muchas bases de datos de Whois, que son administradas por muchas empresas en muchos países, pero todas usan el mismo protocolo.
La información de Whois para cada dominio incluye teléfono, dirección física, email y nombre tanto para el registrante del dominio (que es quien se puede considerar como el dueño del dominio*) como para los contactos administrativo, técnico y de facturación, si lo hay. Es obligación de cada registrante incluir información veraz que pueda ser usada para contactarlo. Si la información no es veraz y exacta, el registrador correspondiente (es decir, la empresa que fue acreditada por ICANN para registrar dominios) puede suspender o cancelar el dominio.
Un mínimo que los usuarios pueden esperar de las empresas del sector financiero, o de cualquier empresa en realidad, es que incluyan información útil, veraz y exacta en el Whois de sus dominios. Que una empresa grande, respetable y con cientos de miles de clientes deje campos vacíos en el Whois (ciudad, departamento/estado, país) o que incluya como número de teléfono algo como +54.9999999999, deja mucho que desear.
Respecto de los servidores de resolución
Los servidores de resolución le informan a todo el Sistema de Nombres de Dominio las direcciones IP en las que están disponibles los recursos asociados a cada dominio. Por ejemplo, el servidor ns.icann.org es uno de los varios servidores de resolución del dominio icann.org.
Un mismo servidor puede proveer resolución para muchos dominios. Y muchas empresas pueden usan un único set de servidores para la resolución de todos los dominios que hacen parte de sus portafolios.
En un escenario ideal, cada dominio debe tener al menos dos servidores de resolución y esos servidores deben estar en direcciones IP que hagan parte de ASs diferentes (un AS o Autonomous System, es un bloque de direcciones asignado generalmente a un proveedor de acceso a Internet o a empresas grandes que tienen una infraestructura de redes importante). Si un dominio solamente tiene un servidor de resolución o si tiene dos o más pero todos están bajo el mismo AS, un ataque de denegación de servicio no muy grande puede sacar del aire al servidor de resolución (o a los servidores, si son varios) y dejar al dominio sin resolución.
Y si el dominio deja de resolver, los usuarios creerán que el sitio web está caído y no podrán enviar ni recibir email asociado al dominio, entre otras cosas.
En otras palabras, evite que todos sus dominios queden sujetos a un single point of failure.
Respecto de los contactos de Whois
Las compañías no deberían listar nombres de personas naturales como contactos en el Whois de sus dominios. Debería aparecer siempre el nombre de la compañía (en el campo ‘Registrant Organization’), pudiendo estar acompañado por el nombre de un departamento o un rol genérico como ‘Administrador de Dominios’ o ‘Departamento de Marcas y Dominios’ (en el campo ‘Registrant Name’ o para los nombres de ‘Admin Contact’, ‘Tech Contact’ y ‘Billing Contact’).
Listar el nombre de una persona natural en el Whois es exponerla innecesaria y tontamente a que sea objeto de ataques de ingeniería social, dirigidos por quienes busquen robar el dominio. Además, si el nombre de una persona natural aparece como registrante o como administrador del dominio y esa persona cambia de empleador o simplemente pierde su empleo, podrá llevarse el dominio consigo y le tocará a la compañía iniciar un procedimiento vía UDRP o negociar con esa persona directamente.
Respecto de evitar el phishing
Los delincuentes envían email que parece ser enviado por entidades del sector financiero, o de entidades estatales o de marcas reconocidas, esperando engañar a sus víctimas y convencerlas de hacer click en un link para comprometer sus dispositivos, robar sus credenciales de acceso a servicios financieros o a sus cuentas en redes sociales, entre otras razones.
Las entidades públicas y las compañías pueden ayudar a disminuir la cantidad de ‘spoofed email’ que circula en Internet y que, específicamente, pretende dañar a sus clientes o usuarios. Para hacerlo solamente deben implementar tres medidas tecnológicas que incluyen la adición de determinados registros en la información de DNS de sus dominios.
Estos registros no son más que líneas de texto que le informan al mundo entero cuáles son los únicos servidores de correo que están autorizados para enviar email usando el dominio correspondiente. Las medidas tecnológicas a las que me refiero, que son de tres clases, se llaman SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-Based Authentication, Reporting and Conformance).
Los sectores financiero y público deberían, francamente, implementar DMARC en todos sus dominios. Al hacerlo, implementan SPF y DKIM y protegen a todos los usuarios frente a los delincuentes que quieran enviar email que parezca venir de los dominios de los bancos o las entidades públicas.
Conclusiones
La correcta administración de un dominio, o de un portafolio de dominios, asegura que los servicios en línea ofrecidos por las compañías o las entidades públicas a sus usuarios no sean interrumpidos debido a una interrupción en el funcionamiento normal del dominio y de los servicios asociados a él. La no interrupción en la resolución de un dominio garantiza que, por lo menos en lo que concierne al dominio, los servicios en línea asociados a él continúen siendo prestados de manera continua y que la reputación de la empresa o entidad no se vea afectada negativamente por interrupciones o degradaciones en el nivel de servicio.
Un olvido o un descuido que termine en la expiración de un dominio, si bien pasa con alguna frecuencia, puede tener consecuencias muy negativas para las compañías. Ni hablar de las consecuencias que puede tener para la persona que dejó que el olvido o el descuido tuviera lugar.
Administrar un portafolio de dominios requiere un poco más de estrategia de lo que usualmente se piensa. Y esa estrategia debe ser suficientemente pensada, discutida y acordada, no debe ser un algo tácito que nadie conoce y que está lleno de vacíos. Debe constar por escrito y debe tener recursos asignados, responsabilidades, procesos, tiempos y sanciones por no cumplimiento.
Administre el portafolio de dominios de su compañía de manera que nunca la exponga a un golpe reputacional o a sus clientes a un golpe financiero que no tienen por qué soportar. Entienda que los dominios son la puerta a través de la que el mundo entero accede a su presencia en línea. Si los dominios no operan de manera normal y esa puerta se cierra, nadie podrá encontrar los recursos en línea de su empresa a través del DNS ni hacer uso de ellos.
(*Existe toda una discusión -que está lejos de ser resuelta- respecto de si existen derechos de propiedad sobre los nombres de dominio.)
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe