El sistema de nombres de Internet duplica la longitud de su clave para evitar ciberataques

Cualquier ordenador, tel¨¦fono o dispositivo conectado a Internet tiene una direcci¨®n IP del estilo 98.103.101.73 que lo identifica. Es, por decirlo as¨ª, y salvando todas las distancias, como su n¨²mero de tel¨¦fono. Pero dado que los humanos somos notablemente malos a la hora de recordar n¨²meros, desde la d¨¦cada de los 80 est¨¢ en servicio el sistema de nombres de dominio, o DNS por sus siglas en ingl¨¦s, que nos permite escribir nombres en lugar de n¨²meros para referirnos a un ordenador.

As¨ª, al teclear elpais.com en un navegador, el DNS se encarga de pasarle a nuestro ordenador la direcci¨®n IP correspondiente para que se pueda establecer la comunicaci¨®n. El DNS es, de nuevo simplificando bastante, como la agenda de tel¨¦fonos de nuestro m¨®vil, pero para Internet.

E igual que si perdemos la agenda del m¨®vil apenas recordamos un pu?ado de n¨²meros cuando falla el DNS no somos capaces de usar muchos de los servicios de Internet a pesar de que podr¨ªamos seguir haci¨¦ndolo si supi¨¦ramos la direcci¨®n IP del ordenador con el que nos queremos conectar. Eso fue, de hecho, lo que sucedi¨® a finales de octubre, cuando un ataque contra la empresa Dyn tumb¨® en parte el servicio DNS y parec¨ªa que Twitter, Spotify, Ebay y otros servicios no funcionaban. En realidad s¨ª lo hac¨ªan pero, como no sabemos sus direcciones IP, no ¨¦ramos capaces de conectar con ellos.

M¨¢s all¨¢ de estos ataques de fuerza bruta ,el DNS ten¨ªa otro problema m¨¢s insidioso: cuando fue dise?ado nadie pens¨® que alguien podr¨ªa querer falsificar sus resultados, con lo que su funcionamiento no estaba protegido ni cifrado.

Este cambio es una medida de precauci¨®n para ir por delante de posibles intentos de romper la clave

As¨ª, alguien con el empe?o y los conocimientos suficientes pod¨ªa ser capaz de interceptar las peticiones que cualquier dispositivo lanzara a los servidores DNS y cambiarlas por otras respuestas que llevaran a un sitio distinto desde el que se podr¨ªa infectar el ordenador o intentar un robo de datos.

Por eso, en 2010 se activ¨® el protocolo de seguridad DNSSEC, que lo que hace es asegurar que la informaci¨®n que circula entre los servidores DNS y las m¨¢quinas que los consultan no ha sido modificada ni falsificada. Para ello. las respuestas van firmadas digitalmente mediante un sistema de clave p¨²blica que, a pesar de su nombre, exige que la firma sea hecha mediante una clave secreta cuya validez se comprueba mediante una clave p¨²blica.

Esta clave, que permanec¨ªa sin cambiar desde 2010, tiene una longitud de 1024 bits, y aunque no ha sido rota, la ICANN, la Corporaci¨®n de Internet para la Asignaci¨®n de Nombres y N¨²meros, que controla el DNS, ha decidido que es hora de hacerla m¨¢s larga, con lo que se va a duplicar su longitud.

Este cambio no es m¨¢s que una medida de precauci¨®n para ir por delante de posibles intentos de romper la clave, ya que si bien en los seis a?os que han pasado desde que empez¨® a usarse la clave de 1024 bits la potencia de c¨¢lculo de los ordenadores se puede haber multiplicado grosso modo por ocho, el doblar la longitud de la clave hace que la dificultad para romperla crezca exponencialmente.

La nueva clave ha sido generada, gracias a las correspondientes medidas de seguridad, aunque ahora queda distribuirla a los 13 servidores DNS ra¨ªz de los que dependen todos los dem¨¢s y asegurarse de que el resto de los servidores y programas y servicios que usan el sistema son capaces de entender la informaci¨®n cifrada con la nueva clave. Esta empezar¨¢ a ser usada en octubre de 2017, aunque la anterior seguir¨¢ siendo v¨¢lida hasta enero de 2018.

Los usuarios ni se enterar¨¢n del cambio; si no, ser¨ªa como si un operador de televisi¨®n por cable cambiara repentinamente el cifrado de los datos y las tarjetas de sus abonados dejaran de entenderlo. Pero es importante destacar que aunque el uso del DNS seguro est¨¢ m¨¢s que recomendado, no es obligatorio, y que se estima que en la actualidad s¨®lo un 15% de los clientes de DNS usan de forma exclusiva el DNS seguro.