WHOIS, el sistema
gestionado por la Corporación de Internet para la Asignación de Nombres y
Números (ICANN, por sus siglas en inglés) para saber quién es el responsable de
un dominio, puede tener los días contados ante la llegada del Reglamento
General de Protección de Datos de la Unión Europea (RGPD).
WHOIS es un protocolo
que permite encontrar nombres y datos de contacto del propietario de un dominio
y que fue creado por la ICANN en los años 80. Como señalan desde Panda
Security, es una de las más antiguas herramientas de Internet para verificar
identidades.
El sistema WHOIS es
un recurso para los investigadores y las fuerzas de seguridad: sus datos son
una primera línea de trabajo desde el momento en el que se detecta una
actividad maliciosa, ya que están públicamente disponibles.
A pesar de estar
ligados a todos los dominios, los requerimientos de WHOIS están bajo escrutinio
y hace tiempo que se considera que es un sistema anacrónico, como apuntan desde
Panda Security en un comunicado. Incluso se estima que el 40% de los datos
podrían ser fraudulentos o inexactos.
También, como apuntan
desde la compañía de ciberseguridad, tradicionalmente, WHOIS ha sido "una
mina" para 'hackers' y 'spammers', que pueden extraer información de las
bases de datos de WHOIS para lanzar 'spam', dirigirse a usuarios registrados o
suplantar su identidad.
Esto ha conducido a
la proliferación de servicios para ocultar los datos de WHOIS, proporcionados
en muchas ocasiones por las mismas empresas de gestión de dominios.
LA LLEGADA DEL RGPD
Actualmente, el
protocolo WHOIS publica el nombre, dirección y número de teléfono de cualquier
persona que registre un dominio de Internet. Este sistema se convierte en
"ilegal" bajo el RGPD, como explican desde Panda Security, porque no
pide el consentimiento expreso de estas personas antes de compartir sus datos
de identificación personal.
Como exponen desde la
compañía, el RGPD prohíbe a las empresas publicar información que identifique a
individuos, lo que significa que los acuerdos entre registradores y el ICANN
acerca de WHOIS "serán ilegales". Y esto, añaden, "entorpecerá y
ralentizará la labor de identificación de ciberatacantes".
Desde Panda Security
entienden que es "difícil" integrar WHOIS dentro del marco del
reglamento europeo, puesto que el "sistema público actual de WHOIS es
incompatible con los principios de privacidad de datos del RGPD".
Las consecuencias ya
se han empezado a ver. El pasado mes de noviembre, la ICANN anunció que no
tomaría medidas contra aquellos que no publiquen los datos de WHOIS hasta que
den con una solución permanente y compatible con el nuevo reglamento general.
No obstante, esto puede llevar a que se eliminen cada vez más datos personales
de las bases públicas de WHOIS, porque las empresas ven más fácil eliminar los
datos sensibles que implementar las medidas exigidas por el reglamento europeo.
La propia ICANN
planteó soluciones, ya en 2012. En este sentido, la corporación propuso
implementar un Servicio de Directorio de Registros que funcionaría como una
base de datos actualizada automáticamente y completada con los datos de
registro del dominio de todos los registradores acreditados. Los datos estarían
"cerrados" por defecto, al contrario de lo que ocurre con WHOIS. Sin
embargo, seis años más tarde la entidad no parece estar mucho más cerca de
implementar esta propuesta, como recogen desde la compañía de ciberseguridad.
Fuente: Europa Press