El plan de privacidad de WHOIS genera críticas: Krebs sobre la seguridad

Los reguladores de Internet están impulsando un controvertido plan para restringir el acceso público a QUIÉN ES Registros de registro del sitio web. Los defensores de la propuesta dicen que mejoraría la precisión de los datos de WHOIS y protegería mejor la privacidad de las personas que registran nombres de dominio. Los críticos argumentan que tal cambio sería inviable y haría más difícil combatir a los phishers, spammers y estafadores.

SDRA Un grupo de trabajo dentro de la Corporación de Internet para Nombres y Números Asignados (ICANN), la organización que supervisa el sistema de nombres de dominio de Internet, ha propuesto eliminar el sistema WHOIS actual, que es administrado de manera inconsistente por cientos de registradores de dominios y permite que cualquier persona consulte los registros de registro de sitios web. Para reemplazar el sistema actual, el grupo propone crear un sistema de búsqueda de WHOIS más centralizado que esté cerrado de forma predeterminada.

Según un informe provisional (PDF) del grupo de trabajo de la ICANN, los datos de WHOIS serían accesibles solo para «solicitantes autenticados que son responsables del uso apropiado» de la información.

“Después de trabajar en una amplia gama de casos de uso y la gran cantidad de problemas que plantearon, [ICANN’s working group] llegó a la conclusión de que el modelo WHOIS actual, que otorga a cada usuario el mismo acceso público anónimo a los datos de registro (demasiado a menudo inexactos), debe abandonarse”, escribió el “grupo de trabajo de expertos” de la ICANN. El grupo dijo que «reconoce la necesidad de precisión, junto con la necesidad de proteger la privacidad de aquellos registrantes que pueden requerir una mayor protección de su información personal».

El plan actual del grupo de trabajo prevé la creación de lo que llama un “servicio de directorio de registro agregado” (ARDS) para que sirva como un centro de intercambio de información que contenga una copia no autorizada de todos los elementos de datos recopilados. Los registradores y registros que operan los cientos de diferentes dominios genéricos de nivel superior (gTLD, como dot-biz, dot-name, p. ej.) serían responsables de mantener las fuentes autorizadas de datos de WHOIS para dominios en sus gTLD. Aquellos que deseen consultar los datos de registro de dominio de WHOIS del sistema deberán solicitar credenciales de acceso al ARDS, que sería responsable de manejar las quejas sobre la exactitud de los datos, auditar el acceso al sistema para minimizar el abuso y administrar el acuerdo de licencia para acceder a los datos de WHOIS.

El plan reconoce que la creación de una «ventanilla única» para los datos de registro también podría representar un objetivo gigante en el grupo para los piratas informáticos, pero sostiene que dicho sistema, sin embargo, permitiría una mayor responsabilidad para validar los datos de registro.

Como era de esperar, la propuesta provisional se ha encontrado con una oleada de oposición de algunos expertos en seguridad y tecnología que se preocupan por el potencial daño del plan para los consumidores y los investigadores de delitos cibernéticos.

“Los usuarios de Internet (individuos, empresas, autoridades policiales, gobiernos, periodistas y otros) no deben estar sujetos a barreras, incluidas la autorización previa, las obligaciones de divulgación, el pago de tarifas, etc., para obtener acceso a la información sobre quién opera un sitio web. , con la excepción de los servicios legítimos de protección de la privacidad”, se lee en una carta (PDF) enviada conjuntamente a la ICANN el mes pasado por Servicios web G2, Seguridad de seguridad operacional, Guión legítimo y DominioHerramientas.

“Los usuarios de Internet tienen derecho a saber quién está operando un sitio web que están visitando (o el hecho de que está registrado de forma anónima)”, continúa la carta. “Hoy, las personas revisan los registros completos de WHOIS y, en función de cualquiera de los campos, identifican y denuncian el fraude y otros comportamientos abusivos; los periodistas y académicos utilizan los datos de WHOIS para realizar investigaciones y exponer el comportamiento deshonesto; y los padres usan los datos de WHOIS para comprender mejor con quiénes (o sus hijos) están tratando en línea. Estos y otros usos mejoran la seguridad y la estabilidad de Internet y deben fomentarse para que no se vean agobiados por las barreras de un sistema cerrado por defecto”.

Otros comentarios públicos presentados hasta ahora reflejan la angustia por las ramificaciones geopolíticas de los cambios propuestos. Por ejemplo, afnicoque es el registro de los nombres de dominio en el área geográfica de Francia (.fr), entre otros, señala que el ARDS tendría que estar legalmente establecido en al menos un país, y su infraestructura técnica también tendría que estar bajo al menos una jurisdicción.

“Nos preocupa que el ARDS utilice reglas de ‘talla única’ para evaluar la validez de la solicitud. Con aproximadamente 1500 TLD en la raíz, varios de ellos serán altamente locales y no deberían estar sujetos a las mismas reglas que .com o .net en términos de las cuales las agencias de aplicación de la ley pueden solicitar acceso a los datos”. escribió Afnic’s Pedro Bonis. “¿Debería otorgarse a las LEA chinas acceso a datos privados para nombres de dominio .berlin, por ejemplo? Creemos que este problema no se ha tenido suficientemente en cuenta hasta ahora”.

Él Centro para la Democracia y la Tecnología (CDT), un grupo de expertos en políticas sin fines de lucro con sede en Washington, DC, sostiene que el sistema actual no funciona y genera serias preocupaciones sobre la privacidad y la libertad de expresión al revelar información confidencial al público.

“De acuerdo con las pautas de privacidad de la OCDE, los datos personales deben ser relevantes para su propósito previsto y deben protegerse de la divulgación irrazonable o no autorizada”, escribió CDT en su comentarios oficiales (PDF) sobre la propuesta. “El sistema WHOIS expone innecesariamente los datos confidenciales de los registrantes a consultas anónimas, lo que otorga un fácil acceso a usuarios malintencionados”.

CDT ha propuesto un sistema híbrido que permitiría a los registratarios individuales no comerciales optar por mantener privada su información confidencial, pero mantener el acceso público a la información de registro de sitios web comerciales. CDT dijo que favorece un enfoque similar al adoptado por nominado — el registrador que maneja el gTLD dot-uk.

“Esta política equilibra adecuadamente los intereses y obligaciones de las entidades comerciales y no comerciales en el ecosistema de Internet: las entidades que ofrecen servicios o participan en el comercio necesariamente deben divulgar más información de contacto como parte de WHOIS, de modo que el público pueda acceder a los detalles necesarios para fines comerciales y actividades lícitas”, argumenta la CDT. “Nominet también emplea un método simple pero inteligente para tratar con aquellos que abusan de esta distinción: si Nominet determina que una entidad comercial se identificó a sí misma incorrectamente como individuo, puede cambiar la configuración en esa entrada de registro para que la entidad comercial más detallada la información de contacto se comparte públicamente a través de WHOIS”.

Garth Brueninvestigador principal de Knujon («sin basura» escrito al revés) y crítico vocal desde hace mucho tiempo de la falta de progreso de la ICANN en la precisión de los datos de WHOIS, dijo que las recomendaciones provisionales del grupo de trabajo tratan de enterrar, no arreglar, el problema de WHOIS.

“Durante 14 años, la ICANN ha sido criticada por no abordar este problema directamente, y ahora quieren enterrar los registros de WHOIS detrás de un muro para que nadie pueda criticarlos más”, dijo Bruen. “La oferta de acceso escalonado con mayor acceso para las operaciones de seguridad y aplicación de la ley no debe verse como una especie de desarrollo positivo, en realidad es una pista falsa. Las fuerzas del orden ya tienen un acceso superior a los datos de los registrantes, siempre lo tuvieron. WHOIS se trata de que los usuarios comunes de Internet puedan averiguar quién posee un nombre de dominio. En última instancia, el consumidor está siendo congelado y ahora tiene que ir a la policía o a algún servicio de seguridad de pago para obtener información sobre un nombre de dominio”.

Como periodista e investigadora de delitos cibernéticos, tiendo a ponerme del lado de quienes están a favor de mantener el statu quo en los registros de WHOIS. Como dejan en claro las numerosas historias de mi serie Breadcrumbs, los registros de WHOIS son extremadamente útiles para encontrar y exponer a los estafadores y ciberdelincuentes. Incluso cuando los spammers o los estafadores, obviamente, colocan información de identidad y dirección falsa en los registros de WHOIS, muy a menudo dejan pistas que pueden usarse para establecer conexiones y correlaciones importantes, como la reutilización de la misma dirección de correo electrónico o número de teléfono falso. . Además, los registros de WHOIS son medios extremadamente importantes para llegar a los propietarios de sitios web cuyos sitios están infectados y se utilizan para propagar software malicioso.

Finalmente, el informe provisional del grupo de trabajo deja abierta en mi mente la cuestión de cómo exactamente el ARDS lograría registros de WHOIS más precisos y completos. Los acuerdos de acreditación actuales que los registradores/registros deben firmar con la ICANN ya requieren que los registradores/registros validen los datos de WHOIS y corrijan los registros inexactos, pero se ha demostrado durante mucho tiempo que estos contratos son ineficaces para producir registros mucho más precisos.

Se han publicado docenas de comentarios sobre el plan de la ICANN. aquí y aquí. ¿Qué piensa usted al respecto? Apague el sonido abajo en los comentarios.

Deja un comentario