Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

El sistema de nombres de Internet duplica la longitud de su clave para evitar ciberataques

Creado en los años 80, el sistema de dominios es como la agenda de teléfonos de Internet, y su buen funcionamiento es clave para garantizar la integridad de la Red

Cualquier ordenador, teléfono o dispositivo conectado a Internet tiene una dirección IP del estilo 98.103.101.73 que lo identifica. Es, por decirlo así, y salvando todas las distancias, como su número de teléfono. Pero dado que los humanos somos notablemente malos a la hora de recordar números, desde la década de los 80 está en servicio el sistema de nombres de dominio, o DNS por sus siglas en inglés, que nos permite escribir nombres en lugar de números para referirnos a un ordenador.

Así, al teclear elpais.com en un navegador, el DNS se encarga de pasarle a nuestro ordenador la dirección IP correspondiente para que se pueda establecer la comunicación. El DNS es, de nuevo simplificando bastante, como la agenda de teléfonos de nuestro móvil, pero para Internet.

E igual que si perdemos la agenda del móvil apenas recordamos un puñado de números cuando falla el DNS no somos capaces de usar muchos de los servicios de Internet a pesar de que podríamos seguir haciéndolo si supiéramos la dirección IP del ordenador con el que nos queremos conectar. Eso fue, de hecho, lo que sucedió a finales de octubre, cuando un ataque contra la empresa Dyn tumbó en parte el servicio DNS y parecía que Twitter, Spotify, Ebay y otros servicios no funcionaban. En realidad sí lo hacían pero, como no sabemos sus direcciones IP, no éramos capaces de conectar con ellos.

Más allá de estos ataques de fuerza bruta ,el DNS tenía otro problema más insidioso: cuando fue diseñado nadie pensó que alguien podría querer falsificar sus resultados, con lo que su funcionamiento no estaba protegido ni cifrado.

Este cambio es una medida de precaución para ir por delante de posibles intentos de romper la clave

Así, alguien con el empeño y los conocimientos suficientes podía ser capaz de interceptar las peticiones que cualquier dispositivo lanzara a los servidores DNS y cambiarlas por otras respuestas que llevaran a un sitio distinto desde el que se podría infectar el ordenador o intentar un robo de datos.

Por eso, en 2010 se activó el protocolo de seguridad DNSSEC, que lo que hace es asegurar que la información que circula entre los servidores DNS y las máquinas que los consultan no ha sido modificada ni falsificada. Para ello. las respuestas van firmadas digitalmente mediante un sistema de clave pública que, a pesar de su nombre, exige que la firma sea hecha mediante una clave secreta cuya validez se comprueba mediante una clave pública.

Esta clave, que permanecía sin cambiar desde 2010, tiene una longitud de 1024 bits, y aunque no ha sido rota, la ICANN, la Corporación de Internet para la Asignación de Nombres y Números, que controla el DNS, ha decidido que es hora de hacerla más larga, con lo que se va a duplicar su longitud.

Este cambio no es más que una medida de precaución para ir por delante de posibles intentos de romper la clave, ya que si bien en los seis años que han pasado desde que empezó a usarse la clave de 1024 bits la potencia de cálculo de los ordenadores se puede haber multiplicado grosso modo por ocho, el doblar la longitud de la clave hace que la dificultad para romperla crezca exponencialmente.

La nueva clave ha sido generada, gracias a las correspondientes medidas de seguridad, aunque ahora queda distribuirla a los 13 servidores DNS raíz de los que dependen todos los demás y asegurarse de que el resto de los servidores y programas y servicios que usan el sistema son capaces de entender la información cifrada con la nueva clave. Esta empezará a ser usada en octubre de 2017, aunque la anterior seguirá siendo válida hasta enero de 2018.

Los usuarios ni se enterarán del cambio; si no, sería como si un operador de televisión por cable cambiara repentinamente el cifrado de los datos y las tarjetas de sus abonados dejaran de entenderlo. Pero es importante destacar que aunque el uso del DNS seguro está más que recomendado, no es obligatorio, y que se estima que en la actualidad sólo un 15% de los clientes de DNS usan de forma exclusiva el DNS seguro.

Más información