Ya ha comenzado la cuenta atrás para la llegada del GDPR. A pesar de haber debatido ampliamente las implicaciones de este nuevo reglamento, es menos conocido que uno de los efectos secundarios de su entrada en vigor podría perjudicar la seguridad de los usuarios en lugar de protegerlos. Esta situación se debe a la colisión entre las obligaciones del GDPR y WHOIS, el extendido sistema gestionado por la ICANN (Internet Corporation for Assigned Names and Numbers) para saber quién es el responsable de un dominio.
¿Qué es WHOIS y por qué es importante?
WHOIS es un protocolo que permite encontrar nombres y datos de contacto del propietario de un dominio y que fue creado por la ICANN en los años 80. De hecho, es una de las más antiguas herramientas de internet para verificar identidades.
El sistema WHOIS es un recurso de valor incalculable para los investigadores y las fuerzas de seguridad: sus datos son una primera línea de trabajo desde el momento en el que se detecta una actividad maliciosa, ya que están públicamente disponibles. Así, los investigadores utilizan WHOIS para rastrear la diseminación de malware o descubrir quién está detrás de un dominio malicioso. La ICANN tiene acuerdos con todos los registradores de dominios que les obligan a publicar datos como nombres, correos electrónicos y números de teléfono para cada registratario de dominio con su servicio.
A pesar de estar ligados a todos los dominios, los requerimientos de WHOIS están bajo escrutinio y hace tiempo que se considera que es un sistema anacrónico. Incluso sus partidarios reconocen que la información es fácilmente falsificable y se estima que el 40% de los datos podrían ser fraudulentos o inexactos. También es cierto que, tradicionalmente, WHOIS ha sido una mina para hackers y spammers, que pueden extraer información de las bases de datos de WHOIS para lanzar spam, dirigirse a usuarios registrados o suplantar su identidad. Esto ha conducido a la proliferación de servicios para ocultar los datos de WHOIS, proporcionados en muchas ocasiones por las mismas empresas de gestión de dominios.
Pero, ¿cuál es exactamente el problema que surge con la llegada del GDPR? Actualmente el protocolo WHOIS publica el nombre, dirección y número de teléfono de cualquier persona que registre un dominio de Internet. Este sistema se convierte en ilegal bajo el GDPR porque no pide el consentimiento expreso de estas personas antes de compartir sus datos de identificación personal. Como ya hemos dicho, algunas empresas ya ofrecen la posibilidad de ocultar los datos personales por una tarifa extra, pero esto tampoco es compatible con el cumplimiento del GDPR.
Choque de trenes entre GDPR y WHOIS
La situación no es fácilmente resoluble. El GDPR prohíbe a las empresas publicar información que identifique a individuos, lo que significa que los acuerdos entre registradores y el ICANN acerca de WHOIS serán ilegales. Y esto entorpecerá y ralentizará la labor de identificación de ciberatacantes.
Incluso siendo conscientes de las posibles consecuencias adversas, es difícil integrar el protocolo WHOIS dentro del marco de actuación del GDPR. No es posible afirmar que el hecho de que esta base de datos sea pública ayuda a cumplir con el propósito original para el que la información fue recogida (registrar el dominio). Esto significa que el sistema público actual de WHOIS es incompatible con los principios de privacidad de datos del GDPR.
El pasado mes de noviembre, la ICANN anunció que no emprendería acciones legales contra los registradores por el no cumplimiento con las obligaciones contractuales relacionadas con la gestión de los datos de registro. Es decir, la entidad no tomará medidas contra aquellos que no publiquen los datos de WHOIS hasta que den con una solución permanente y compatible con el GDPR. Aun así, se corre el riesgo de que se eliminen cada vez más datos personales de la base pública de WHOIS, dado que resulta más fácil para las empresas eliminar los datos sensibles que invertir tiempo en implementar correctamente las medidas requeridas por el GDPR. De hecho, GoDaddy, el mayor registrador de dominios del mundo, anunció en enero que retiraría la mayor parte de los datos de contacto WHOIS de sus 17 millones de clientes, que ya no están disponibles en las búsquedas. Se teme que muchos otros registradores sigan su ejemplo antes del 25 de mayo.
Hace algunos años la ICANN creó un grupo de trabajo de expertos para estudiar formas de proteger la privacidad, preservando la libertad de expresión y teniendo en cuenta la protección de los consumidores y el interés público, para garantizar la confianza y la competitividad. Sus recomendaciones apuntaban a la necesidad de contar con un sistema para “saber”, diseñado para reemplazar la información de WHOIS, disponible públicamente. Ya en 2012 el ICANN propuso una solución, que consistía en implementar un Servicio de Directorio de Registros (Registration Directory Service, RDS), que funcionaría como una base de datos actualizada automáticamente y completada con los datos de registro del dominio de todos los registradores acreditados. Los datos estarían “cerrados” por defecto, al contrario de lo que ocurre con WHOIS. Sin embargo, 6 años más tarde la entidad no parece estar mucho más cerca de implementar esta propuesta.
La ICANN está en una posición difícil. Por un lado, recibe presiones de los expertos en seguridad que dependen de los datos de WHOIS para investigar posibles crímenes o mitigar los efectos de los ataques. Por otra parte, la organización también tiene que adaptarse al GDPR para unirse a la lucha por la protección de los datos personales de los usuarios en la red. ¿Encontrarán una forma viable de conjugar la necesidad de saber de las fuerzas de seguridad y la privacidad de los ciudadanos?
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
6 comments
thanks for all…
La petición de un WHOIS se puede hacer de diversas maneras, pero lo habitual es utilizar un servicio web (una página web) que nos permita realizar esa consulta. Para ello indicamos simplemente el nombre del dominio que queremos consultar.
thanks for sharing
Thank you for reading us!
Kind regards,
Panda Security.
La verdad es que no veo un mayor problema es ocultar esta información al público, mientras que las operadoras de altas de dominios mantengan un registro de estos datos y lo pongan a disposición de las agencias de seguridad, que son a priori, quienes necesitarían esa info y podrían utilizarla “legalmente” y en cumplimiento con procedimientos judiciales, claro, siempre que sean respaldados con una orden judicial.
Buen artículo.
Saludos.
Es cierto que aún no se ve una solución clara, pero sí existe una alternativa que no se menciona: RDAP (Registration Data Access Protocol). Es un protocolo que ya toca el tema de privacidad (entre otras cosas), y de hecho fue creado para reemplazar a whois ¿se conoce algo de esto o cuál es la posición de los registrars/registries?