El panorama digital evoluciona rápidamente y, a medida que esto ocurre, la normativa se hace cada vez más estricta para proteger a empresas, particulares y autoridades públicas de las crecientes amenazas que plantea la ciberdelincuencia.

Una de las novedades más importantes en este ámbito es la Directiva 2 de la UE sobre seguridad de las redes y de la información (NIS2), que impone nuevas obligaciones a los proveedores de servicios en línea. Entre las numerosas disposiciones, el Artículo 28 se centra en los procesos de conocimiento del cliente (KYC) para los registrantes de nombres de dominio.

En esta publicación, exploraremos cómo NIS2 y el Artículo 28 afectan al registro de dominios, por qué KYC es más importante que nunca y cómo los registradores de nombres de dominio, donde quiera que estén en el mundo, deben adaptarse para garantizar el cumplimiento y mejorar la ciberseguridad. Pero antes, un rápido repaso a la Directiva NIS2.

¿Qué es la Directiva NIS2?

La Directiva NIS2, adoptada por la UE en 2022, actualiza y refuerza la Directiva NIS original (2016), cuyo objetivo era mejorar la ciberseguridad en toda la UE exigiendo a los proveedores de servicios esenciales (como la energía, la sanidad y el transporte) que adoptaran medidas de seguridad más estrictas.

NIS2 amplía el ámbito de aplicación a una gama más amplia de sectores, incluidos los proveedores de infraestructuras digitales, entre los que se incluyen los registradores de nombres de dominio y los proveedores de servicios DNS. El objetivo es proteger las infraestructuras críticas y los servicios digitales de ciberamenazas como el ransomware, las violaciones de datos y los ataques a la cadena de suministro.

En cuanto a las responsabilidades y obligaciones de los registradores de nombres de dominio y los proveedores de servicios DNS, debe prestarse especial atención al Artículo 28.

Artículo 28: Especial atención al registro de nombres de dominio

Una de las secciones de la NIS2 que reviste especial importancia para los registradores de nombres de dominio es el Artículo 28, que trata de las responsabilidades de los mismos y los proveedores de servicios DNS. En él se exige a estos proveedores que recopilen, verifiquen y, en algunos casos, divulguen información precisa y completa sobre sus clientes, en particular, los solicitantes de registro de nombres de dominio.

El Artículo 28 introduce el principio de «conozca a su cliente» (KYC) en el proceso de registro de nombres de dominio. Así, exige a quienes se encargan de lo anterior, que sepan exactamente quién está registrando un nombre de dominio y que se aseguren de que la identidad del que lo realiza, es legítima.

Principales conclusiones del Artículo 28:

  1. Información precisa del registrante: los registradores son responsables de garantizar que los propietarios de nombres de dominio (registrantes) faciliten información personal y organizativa válida y actualizada.

  2. Verificación: los registradores deben aplicar mecanismos para verificar la identidad de los solicitantes de registro, ya sean personas físicas u organizaciones jurídicas, en el momento del registro.

  3. Disponibilidad de los datos: las autoridades policiales y otras autoridades competentes deben tener acceso a los datos de los solicitantes de registro de nombres de dominio con fines de investigación o ciberseguridad.

Estas medidas pretenden frenar el uso indebido de los nombres de dominio para actividades maliciosas, como el phishing, el control de botnets y el fraude. Al imponer el sistema KYC, el Artículo 28 pretende reducir el anonimato del que a menudo se aprovechan los ciberdelincuentes.

La importancia del KYC para los registrantes de nombres de dominio

La introducción del sistema KYC para los registrantes de nombres de dominio es un paso importante para mejorar la seguridad y la transparencia en Internet.

He aquí algunos ejemplos de por qué es importante en este contexto:

Lucha contra la ciberdelincuencia

Los ciberdelincuentes suelen utilizar información falsa o anónima al registrar nombres de dominio, lo que les permite actuar con impunidad. De ahí que, los registros fraudulentos de nombres de dominio se utilicen habitualmente para:

  • Ataques de phishing: nombres de dominio maliciosos que imitan sitios web legítimos para robar información personal o financiera.
  • Distribución de malware: nombres de dominio que alojan o distribuyen malware, incluido software de extorsión o spyware.
  • Servidores de botnets: nombres de dominio utilizados para controlar botnets, que pueden llevar a cabo ataques DDoS o campañas volumétricas de spam.

Al mantener el conocimiento de los clientes, los registradores pueden evitar el uso de identidades falsas o robadas, lo que dificulta a los delincuentes ocultar sus actividades.

Los datos precisos sobre los registrantes proporcionarán un rastro que las fuerzas de seguridad podrán seguir, mejorando las posibilidades de identificar y detener a los ciberdelincuentes antes de que se produzcan daños significativos.

Mayor confianza en el ecosistema de nombres de dominio

Las prácticas KYC promueven la transparencia y la responsabilidad, lo que refuerza la confianza en el ecosistema digital de nombres de dominio. Cuando los solicitantes de registro proporcionan información precisa y verificable, disminuye el número de malos actores que explotan el sistema. Esto es crucial para las empresas en línea, los usuarios y los proveedores de servicios que dependen de una infraestructura de nombres de dominio segura y fiable.

Para las empresas legítimas, KYC ayuda a reducir la suplantación de nombres de dominio y otras tácticas que los ciberdelincuentes utilizan para imitar marcas de confianza. Esto no sólo protege la reputación de la marca, sino que también aumenta la confianza del consumidor en las interacciones en línea.

Cumplimiento de los requisitos legales

La Directiva NIS2 y el Artículo 28 representan un paso hacia una regulación más estricta de los nombres de dominio. Los registradores que no cumplan los requisitos KYC corren el riesgo de ser sancionados o incluso de perder su acreditación ICANN.

Mediante la implementación de procesos adecuados de KYC, los registradores pueden garantizar el cumplimiento no sólo de la Directiva NIS2, sino también de otras normativas, como el Reglamento General de Protección de Datos (GDPR), que regula la privacidad de los datos en la UE. Los registradores deben encontrar un equilibrio entre el cumplimiento de los requisitos de KYC y la protección de la privacidad de los usuarios, especialmente cuando comparten información con las fuerzas de seguridad u otras entidades.

Prevención del abuso de nombres de dominio

Los nombres de dominio con datos de registro falsos o anónimos tienen más probabilidades de ser señalados por actividades maliciosas. Al verificar la identidad de los registrantes, los registradores pueden reducir significativamente el abuso de nombres de dominio. Esto contribuye a mejorar las puntuaciones de reputación de los nombres de dominio, ayudando tanto a los usuarios finales como a los motores de búsqueda a identificar los sitios web legítimos, lo que permite que el Internet sea más seguro.

Cómo deben aplicar KYC los registradores de nombres de dominio

Para cumplir los requisitos de la NIS2 y el Artículo 28, los registradores de nombres de dominio deben aplicar mecanismos eficaces de KYC.

He aquí algunas medidas clave que pueden adoptar:

  1. Herramientas de verificación de identidad: los registradores pueden integrar herramientas automatizadas de verificación de identidad que confirmen la identidad de un registrante en el momento del registro. Estas herramientas pueden incluir comprobaciones como la verificación del documento de identidad emitido por el gobierno, documentos de registro de la empresa o referencias cruzadas con bases de datos conocidas.
  2. Supervisión continua: los registradores no sólo deben verificar la información en el momento de la inscripción, sino también realizar auditorías o comprobaciones periódicas para garantizar que la información del registrante sigue siendo exacta a lo largo del tiempo.
  3. Cooperación con las fuerzas de seguridad: los registradores deben establecer procesos claros para compartir de forma segura los datos de los registrantes con las fuerzas de seguridad cuando así lo requieran las investigaciones o los incidentes de ciberseguridad, de acuerdo con las leyes de privacidad.
  4. Transparencia para los clientes: los registradores deben informar a sus clientes de los requisitos de KYC y de las razones que los justifican, y garantizar que existen procesos para mejorar la seguridad sin poner en peligro innecesariamente la privacidad.
  5. Seguridad de los datos: dado que KYC implica la recopilación de información sensible, los registradores deben implementar medidas estrictas de protección de datos para proteger los datos del registrante de intrusiones o accesos no autorizados, de acuerdo con el GDPR y otras regulaciones de privacidad.

Conclusión

La introducción de la Directiva NIS2 y el Artículo 28 marca un punto de inflexión para la industria de nombres de dominio. Al imponer procesos KYC para los registrantes de nombres de dominio, la UE pretende mejorar la transparencia, la responsabilidad y la seguridad en el mundo digital.

 

Los registradores de nombres de dominio tienen ahora un importante papel que desempeñar en la lucha contra la ciberdelincuencia, garantizando que los nombres de dominio que gestionan no estén controlados de forma anónima por agentes malintencionados.

La implantación de sólidos mecanismos KYC no sólo ayuda a los registradores a cumplir con la NIS2, sino que también contribuye al objetivo más amplio de crear una Internet más seguro y fiable para todos.

 

¿Necesita ayuda para implementar mecanismos KYC?

Contáctenos para una consulta gratuita: