La seguridad de Internet depende de

siete llaves maestras custodiadas por 14

personas

22 Octubre 2016
YBAL FM

Los ataques DDoS a Dyn, un importante proveedor DNS, que durante unas horas
impidieron que el mundo pudiera acceder a Twitter, Netflix o Spotify nos han
demostrado la importancia de los DNS en el correcto funcionamiento de la red.
Los Domain Name System convierten direcciones como Xataka.com en direcciones IP
numricas entendibles por los ordenadores, lo que convierten a esta tecnologa en la
llave maestra de Internet.
Hace unas semanas supimos que las llaves de acceso a los ordenadores que controlan
el DNS dejaron de estar en poder de Estados Unidos, y que pasaron a ser controladas
nica y exclusivamente por la ICANN. Por lo tanto el ICANN es organismo que protege
Internet, y como si de una pelcula de espas se tratase, lo hace con 7 llaves de acceso

a su ordenador principal que reparte entre 14 personas. Los autnticos guardianes

de la red de redes.
Cada tres meses desde el 2010, los guardianes de las siete llaves se renen para realizar
una especie de ritual de seguridad en el que se actualizan y verifican las claves que
les permiten tener acceso al dispositivo que genera todas las claves maestras de
Internet, las claves con las que acceder a la base de datos principal del ICANN.
Y qu pasara si alguien con malas intenciones consiguiera acceder a esta base de
datos del ICANN? Pues bsicamente que tendra el control de Internet, y que por
ejemplo podra enviarnos a direcciones fraudulentas cuando escribiramos la URL
de una web. Podemos imaginarlo como un phishing a niveles picos, puedes escribir
la direccin de tu banco y que te lleven a una cuenta fraudulenta en la que te roban
las credenciales.

El ritual de las siete llaves

La ICANN tiene siete llaves fsicas que reparte a catorce personas, de las cuales siete
son portadores "titulares" y los otros siete se quedan como suplentes. Estas llaves dan
acceso a cajas de seguridad, dentro de las cuales estn las tarjetas criptogrficas con
las que generar una nueva SKR (Signed Key Response), la cual a su vez contiene
nuevas claves que habr que distribuir por Internet para asegurar los sistemas DNS.
Pero el proceso no es tan sencillo como parece, ya que antes de llegar al ordenador
principal para generar la nueva SKR hace falta pasar todo un ritual de seguridad.
Los portadores de las llaves tienen que superar una serie de puertas bloqueadas con
claves de acceso y escneres de manos hasta llegar a una sala asegurada para que no
se puedan realizar comunicaciones electrnicas, y en esa sala es donde se actualizan
las claves.
Todo el evento est guionizado, y es grabado y auditado metdicamente. Es ms los
pasos que tienen que seguir los participantes han sido descritos y distribuido entre los
asistentes y participantes para que cualquiera pueda detectar que algo no se est

haciendo como debera. Una vez acabada la ceremonia todo es ms casual y los dueos
de Internet se van de cena a un restaurante.
En un ejercicio de transparencia, la ICANN publica los guiones de cada ceremonia y la
retransmite por streaming a todo el mundo. La prxima tendr lugar el prximo 27
de octubre y ser especialmente relevante, ya que por primera vez se realizar el
cambio de la llave criptogrfica maestra que se asegura de que vamos a la web que
debemos cuando entramos a ella desde el navegador.
Imagen | Paul Schadler