La ICANN da luz verde a las direcciones web multilingues… y a los spoofers

ICANN_internacional

La ICANN, organismo que se encarga de regular los nombres de dominio en Internet, ha dado luz verde al uso de caracteres no latinos en los nombres de dominio y extensiones de direcciones web. De esta forma, se podrán usar caracteres árabes, mandarines, o del alfabeto cirílico ruso. La aprobación implica un paso más hacia la internacionalización de Internet, ya que se abre la red a millones de nuevos usuarios, los cuales podrían conectarse a Internet desde teclados en sus propios idiomas, es decir, que en vez de un teclado QWERTY serían teclados con los caracteres locales, sin que sea necesario conocer los caracteres hasta ahora tradicionales de la red. La aprobación de esta nueva normativa se tilda como uno de los cambios más grandes de la historia de Internet.

Como siempre ocurre en estos casos, hay voces que se muestran en contra de iniciativas de este tipo, en el sentido de que cada vez es más difícil encontrar un estándar de la red, ya que cada vez se incluyen más caracteres propios solamente de cada región. Pero hay muchas que han disparado la voz de alarma ante esta aprobación, porque podría abrir la veda a los spoofers.

Para entendernos, un ataque mediante spoof se crea falseando el origen de los paquetes haciendo creer al usuario que son reales y que está entrando en un sitio de confianza, el cual ya había visitado antes, por lo que no pide ninguna contraseña. El spoof adaptado a la nueva normativa del ICANN se podría dar en el caso, por ejemplo, si queremos entrar a la dirección www.mibanco.com. Los caracteres de esta dirección son distintos en occidente que en ruso o chino y tienen códigos diferentes, pero en todas partes se ven y se leen exactamente igual. Luego podrían creer que entramos en mibanco «de siempre» cuando en realidad estamos siendo redireccionados a una web frauduluenta rusa.

Evidentemente lo más probable es que la ICANN ya haya tomado medidas para evitar practicas de este tipo. De todas formas, si la normativa se abre a tantos millones de nuevos usuarios, probablemente más de un hueco de seguridad habrá en este sentido.