Cualquier ordenador, teléfono o dispositivo conectado a
Internet tiene una dirección IP del estilo 98.103.101.73 que lo
identifica. Es, por decirlo así, y salvando todas las distancias, como
su número de teléfono. Pero dado que los humanos somos notablemente
malos a la hora de recordar números, desde la década de los 80 está en servicio el sistema de nombres de dominio, o DNS por sus siglas en inglés, que nos permite escribir nombres en lugar de números para referirnos a un ordenador.
Así,
al teclear elpais.com en un navegador, el DNS se encarga de pasarle a
nuestro ordenador la dirección IP correspondiente para que se pueda
establecer la comunicación. El DNS es, de nuevo simplificando bastante,
como la agenda de teléfonos de nuestro móvil, pero para Internet.
E igual que si perdemos la agenda del móvil apenas
recordamos un puñado de números cuando falla el DNS no somos capaces de
usar muchos de los servicios de Internet a pesar de que podríamos seguir
haciéndolo si supiéramos la dirección IP del ordenador con el que nos
queremos conectar. Eso fue, de hecho, lo que sucedió a finales de
octubre, cuando un ataque contra la empresa Dyn tumbó en parte el servicio DNS
y parecía que Twitter, Spotify, Ebay y otros servicios no funcionaban.
En realidad sí lo hacían pero, como no sabemos sus direcciones IP, no
éramos capaces de conectar con ellos.
Más allá de estos ataques de fuerza bruta ,el DNS tenía otro
problema más insidioso: cuando fue diseñado nadie pensó que alguien
podría querer falsificar sus resultados, con lo que su funcionamiento no
estaba protegido ni cifrado.
Este cambio es una medida de precaución para ir por delante de posibles intentos de romper la clave
Así, alguien con el empeño y los conocimientos suficientes
podía ser capaz de interceptar las peticiones que cualquier dispositivo
lanzara a los servidores DNS y cambiarlas por otras respuestas que
llevaran a un sitio distinto desde el que se podría infectar el
ordenador o intentar un robo de datos.
Por eso, en 2010 se activó el protocolo de seguridad DNSSEC,
que lo que hace es asegurar que la información que circula entre los
servidores DNS y las máquinas que los consultan no ha sido modificada ni
falsificada. Para ello. las respuestas van firmadas digitalmente
mediante un sistema de clave pública que, a pesar de su nombre, exige
que la firma sea hecha mediante una clave secreta cuya validez se
comprueba mediante una clave pública.
Esta clave, que permanecía sin cambiar desde 2010, tiene una
longitud de 1024 bits, y aunque no ha sido rota, la ICANN, la
Corporación de Internet para la Asignación de Nombres y Números, que
controla el DNS, ha decidido que es hora de hacerla más larga, con lo que se va a duplicar su longitud.
Este cambio no es más que una medida de precaución para ir
por delante de posibles intentos de romper la clave, ya que si bien en
los seis años que han pasado desde que empezó a usarse la clave de 1024
bits la potencia de cálculo de los ordenadores se puede haber
multiplicado grosso modo por ocho, el doblar la longitud de la clave hace que la dificultad para romperla crezca exponencialmente.
La nueva clave ha sido generada, gracias a las
correspondientes medidas de seguridad, aunque ahora queda distribuirla a
los 13 servidores DNS raíz de los que dependen todos los demás y
asegurarse de que el resto de los servidores y programas y servicios que
usan el sistema son capaces de entender la información cifrada con la
nueva clave. Esta empezará a ser usada en octubre de 2017, aunque la
anterior seguirá siendo válida hasta enero de 2018.
Los usuarios ni se enterarán del cambio; si no, sería como
si un operador de televisión por cable cambiara repentinamente el
cifrado de los datos y las tarjetas de sus abonados dejaran de
entenderlo. Pero es importante destacar que aunque el uso del DNS seguro
está más que recomendado, no es obligatorio, y que se estima que en la
actualidad sólo un 15% de los clientes de DNS usan de forma exclusiva el
DNS seguro.