El WHOIS guarda la información recopilada por los registradores de nombres de dominio de todo el mundo
Dos abogados de ciberseguridad y privacidad argumentaron recientemente que el Reglamento General de Protección de Datos interferirá con la disponibilidad de la base de datos WHOIS y obstaculizará seriamente los esfuerzos de los investigadores encargados de hacer cumplir la ley y seguridad para rastrear vendedores de malware, phishers, hackers y otros delincuentes en línea.
¿Lo hará? ¿Y quién tiene la culpa de esta situación?
Acerca de la base de datos WHOIS
El servicio/base de datos WHOIS es operado por la Corporación de Internet para la Asignación de Nombres y Números (en inglés: Internet Corporation for Assigned Names and Numbers; ICANN), y está poblado con información recopilada por los registradores de nombres de dominio de todo el mundo.
Estos últimos firman un acuerdo con ICAAN que les exige recopilar, mantener actualizada y disponible la información de contacto de registro, administrativa y técnica para cada dominio que registran.
En algunos países, los propietarios de dominios pueden pagar los servicios de "registro privado" generalmente proporcionados por los registradores de dominio, de modo que una consulta de WHOIS con respecto a su dominio muestra solo el nombre del registrador y el de un servicio de reenvío en lugar de la información personal del registrante.
Entrada en vigor del GDPR
Hasta el 25 de mayo de 2018 cualquiera podía enviar una consulta al servicio de WHOIS y los investigadores de seguridad y las agencias encargadas de hacer cumplir la ley lo hicieron a granel al investigar posibles delitos o mitigar los ataques de malware.
Pero desde el advenimiento de GDPR es ilegal que los registradores proporcionen la información de los registrantes sin su consentimiento explícito y que hace que el servicio de WHOIS sea ineficaz.
La ICANN ha tenido años para encontrar una solución a ese problema, pero lo ha dejado hasta tarde y ahora se ha visto obligado a implementar una especificación temporal para garantizar que los registradores cumplan con los requisitos del GDPR y al mismo tiempo proporcionen datos del WHOIS.
"De acuerdo con el objetivo declarado de la ICANN de cumplir con el GDPR, mientras se mantiene el sistema de WHOIS existente en la mayor medida posible, la especificación temporal mantiene una sólida recopilación de datos de registro (incluida la información de contacto del registrante, administrativa y técnica), pero restringe la mayoría de los datos personales al acceso en capas/por niveles", dice la especificación.
"Los usuarios con un propósito legítimo y proporcionado para acceder a los Datos Personales no públicos podrán solicitar dicho acceso a través de Registradores y Operadores de Registros. Los usuarios también mantendrán la capacidad de contactar al registrante o a los contactos administrativos y técnicos a través de un correo electrónico o formulario web anónimo".
Aquellos con propósitos legítimos - cumplimiento de la ley, investigadores de seguridad, titulares de propiedad intelectual - deberán ponerse en contacto con el registrador y solicitar acceso a datos del WHOIS no públicos (el registrador está obligado a responder a la solicitud en "tiempo razonable").
El resto solo obtendrá los datos técnicos suficientes para identificar al registrador patrocinador, el estado del registro y las fechas de creación y vencimiento de cada registro, pero no los datos personales, y "tendrá acceso a una dirección de correo electrónico anónima o un formulario web para facilitar la comunicación por correo electrónico con el contacto relevante para ese registro".
La Junta Europea de Protección de Datos - organismo asesor de protección de datos de la UE y sucesor del Grupo de Trabajo del Artículo 29 (WP29) - señaló que, como WP29 anterior, "reconoce los esfuerzos recientes realizados por la ICANN para garantizar el cumplimiento del sistema WHOIS", y continuará monitoreando de cerca el progreso de la ICANN y colaborando con la organización para asegurar que se aborden adecuadamente los requisitos legales bajo la ley de protección de datos de la UE.
"La eliminación pública de información personal del WHOIS, el sistema utilizado para almacenar a los usuarios registrados de los dominios del sitio web, sin dudas hace la vida mucho más difícil para las agencias de seguridad y de cumplimiento de la ley", comentó el CTO de Redscan, Andy Kays.
"Ya sea falso o no, la información que figura en el WHOIS, puede ser muy valiosa para ayudar a rastrear y localizar a las personas detrás de ataques como el phishing y el spamming".
Señaló que un esquema de acreditación que permitiría acceder a los datos personales en los registros del WHOIS para grupos de intereses especiales como la policía, investigadores de seguridad y los periodistas sin duda sería muy bienvenido y ayudaría a abordar las preocupaciones, pero la planificación para implementar un sistema de investigación de este tipo debería haber comenzado hace años.
"Al tratar de esbozar recientemente sus propuestas, la ICANN muestra que ha sido demasiado lenta para reaccionar ante el impacto global del GDPR", concluyó.
Ahora queda por ver si los registradores de dominios darán la bienvenida y cumplirán con la especificación temporal del ICAAN, o decidirán errar por el lado seguro y retirarán el acceso a los datos del WHOIS que almacenan.
EPAG, un registrador con sede en Alemania que forma parte del Grupo Tucows, ha informado recientemente a la ICANN que cuando venda nuevos registros de nombres de dominio ya no recolectará información de contacto administrativa y técnica, ya que considera que la recopilación de esos datos violaría las normas del GDPR.
La ICANN ha presentado un recurso de amparo contra la empresa en un tribunal alemán, con el objetivo de que la corte dicte cómo debe interpretarse en este caso el GDPR.