El panorama digital está evolucionando rápidamente y, con ello, el entorno normativo se está volviendo más estricto para proteger a las empresas, los particulares y los gobiernos de las crecientes amenazas de la ciberdelincuencia.

Uno de los avances más significativos en este ámbito es la Directiva NIS2 (Directiva sobre seguridad de las redes y la información 2) de la Unión Europea, que introduce nuevas obligaciones para los proveedores de servicios en línea. Entre sus numerosas disposiciones, el artículo 28 destaca los procesos de conozca a su cliente (KYC) para los registrantes de nombres de dominio.

En este artículo, exploraremos cómo la NIS2 y el Artículo 28 afectan al registro de dominios, por qué KYC es ahora más importante que nunca y cómo deben adaptarse los registradores de dominios para garantizar el cumplimiento normativo y mejorar la ciberseguridad. Pero primero, repasemos brevemente la Directiva NIS2.

¿Qué es la Directiva NIS2?

La Directiva NIS2, adoptada por la Unión Europea en 2022, actualiza y refuerza la NIS original (2016), cuyo objetivo era mejorar la ciberseguridad en toda la UE, al exigir a los proveedores de servicios esenciales (como energía, sanidad y transporte) que adopten medidas de seguridad más estrictas.

NIS2 amplía el alcance para incluir una gama más amplia de sectores, incluidos los proveedores de infraestructura digital, que abarca en particular a los registradores de nombres de dominio y DNS. El objetivo es proteger las infraestructuras críticas y los servicios digitales frente a amenazas cibernéticas como el ransomware, las violaciones de datos y los ataques a la cadena de suministro.

En lo que respecta a las responsabilidades y obligaciones de los registradores de nombres de dominio y los proveedores de servicios DNS, se debe prestar especial atención al artículo 28.

Artículo 28: Enfoque específico en el registro de nombres de dominio

Una de las secciones más destacadas de NIS2 para los registradores de nombres de dominio es el artículo 28, que aborda la responsabilidad de los registradores de nombres de dominio y los proveedores de servicios DNS. Este artículo exige que dichos proveedores recopilen, verifiquen y, en algunos casos, divulguen información precisa y completa sobre sus clientes, en particular sobre los titulares de nombres de dominio.

El artículo 28 introduce el principio "Conozca a su cliente" (KYC) en el proceso de registro de nombres de dominio, exigiendo a los registradores de nombres de dominio que sepan exactamente quién está registrando un nombre de dominio y se aseguren de que la identidad del registrante es legítima.

Puntos clave del artículo 28:

  1. Información precisa sobre el registrante: Los registradores son responsables de garantizar que los propietarios de nombres de dominio proporcionen información personal y organizativa válida y actualizada.

  2. Verificación: Los registradores deben implementar mecanismos para verificar la identidad de los registrantes, ya sean personas físicas u organizaciones jurídicas, en el momento del procedimiento de registro.

  3. Accesibilidad de los datos: Las fuerzas del orden y otras autoridades competentes deben tener acceso a los datos de los titulares de nombres de dominio para fines de investigación o ciberseguridad.

Estas medidas tienen por objeto frenar el uso indebido de los nombres de dominio para actividades maliciosas, como el phishing, el control de botnets y el fraude. Mediante la aplicación del KYC, el artículo 28 pretende reducir el anonimato que suelen aprovechar los ciberdelincuentes.

La importancia del KYC para los registrantes de nombres de dominio

La introducción de KYC para los registrantes de nombres de dominio es un paso significativo hacia la mejora de la seguridad en línea y la transparencia.

He aquí por qué KYC es esencial en este contexto:

Lucha contra la ciberdelincuencia

Los ciberdelincuentes suelen utilizar información falsa o anónima al registrar nombres de dominio, lo que les permite operar con impunidad. Los registros de nombres de dominio fraudulentos se utilizan habitualmente para:

  • Ataques de phishing: nombres de dominio maliciosos que imitan sitios legítimos para robar información personal o financiera.

  • Distribución de malware: nombres de dominio que alojan o distribuyen malware, incluido ransomware o spyware.

  • Comando y control (C2) servidores: Nombres de dominio utilizados para controlar redes de bots, que pueden llevar a cabo DDoS o campañas masivas de spam.

Al aplicar el KYC, los registradores pueden impedir el uso de identidades falsas o robadas, lo que dificulta a los delincuentes ocultar sus actividades.

Los datos precisos de los registrantes proporcionarán un rastro que las fuerzas del orden podrán seguir, lo que mejorará las posibilidades de identificar y detener a los ciberdelincuentes antes de que se produzcan daños considerables.

Mejorar la confianza en el ecosistema de nombres de dominio

Las prácticas de KYC promueven la transparencia y la responsabilidad, lo que a su vez refuerza la confianza en el ecosistema de nombres de dominio digitales. Cuando los registrantes proporcionan información precisa y verificable, se reduce el número de personas malintencionadas que se aprovechan del sistema. Esto es fundamental para las empresas en línea, los usuarios y los proveedores de servicios que dependen de una infraestructura de nombres de dominio segura y fiable.

Para las empresas legítimas, KYC ayuda a reducir la suplantación de nombres de dominio y otras tácticas que utilizan los ciberdelincuentes para hacerse pasar por marcas de confianza. Esto no solo protege la reputación de la marca, sino que también aumenta la confianza de los consumidores en las interacciones en línea.

Cumplimiento de los requisitos normativos

La Directiva NIS2 y el artículo 28 representan un avance hacia una regulación más estricta de los nombres de dominio. Los registradores de nombres de dominio que no cumplan con los requisitos de KYC se arriesgarán a sufrir sanciones o incluso a perder sus ICANN. p>

Mediante la implementación de procesos adecuados de KYC, los registradores pueden garantizar el cumplimiento no solo de la Directiva NIS2, sino también con otros marcos normativos, como el Reglamento General de Protección de Datos (RGPD) , que regula la privacidad de los datos en la UE. Los registradores deben encontrar un equilibrio entre el cumplimiento de los requisitos de KYC y la protección de la privacidad de los usuarios, especialmente cuando se comparte información con las fuerzas del orden u otras entidades.

Prevención del uso indebido de nombres de dominio

Los nombres de dominio con datos de registro falsos o anónimos son más propensos a ser señalados por actividades maliciosas. Al verificar la identidad de los solicitantes de registro, los registradores pueden reducir significativamente el uso indebido de nombres de dominio. Esto contribuye a mejorar la reputación de los nombres de dominio, lo que ayuda tanto a los usuarios finales como a los motores de búsqueda a identificar los sitios legítimos, haciendo que Internet sea más seguro.

Cómo deben implementar los registradores de nombres de dominio KYC

Para cumplir los requisitos de NIS2 y el artículo 28, los registradores de nombres de dominio deben adoptar mecanismos eficaces de KYC.

Estos son algunos de los pasos clave que pueden seguir:

  1. Herramientas de verificación de identidad: los registradores pueden integrar herramientas automatizadas de verificación de identidad que autentican la identidad del solicitante en el momento del registro. Estas herramientas pueden incluir comprobaciones como la verificación de documentos de identidad emitidos por el gobierno, documentos de registro corporativo o referencias cruzadas con bases de datos conocidas.

  2. Supervisión continua: los registradores no solo deben verificar la información en el momento del registro, sino también realizar auditorías o comprobaciones periódicas para garantizar que la información del solicitante del registro siga siendo precisa a lo largo del tiempo.

  3. Colaboración con las fuerzas del orden: Los registradores deben establecer procesos claros para compartir de forma segura los datos de los solicitantes de registro con las fuerzas del orden cuando lo requieran las investigaciones o los incidentes de ciberseguridad, de conformidad con las leyes de privacidad.

  4. Transparencia para los clientes: Los registradores deben informar a sus clientes sobre los requisitos de KYC y las razones que los motivan, ofreciendo garantías de que los procesos están diseñados para mejorar la seguridad sin comprometer innecesariamente la privacidad.

  5. Seguridad de los datos: Dado que el KYC implica la recopilación de información confidencial, los registradores deben aplicar medidas estrictas de protección de datos para salvaguardar los datos de los registrantes frente a violaciones o accesos no autorizados, de conformidad con el RGPD y otras normativas de privacidad.

Conclusión

La introducción de la Directiva NIS2 y el artículo 28 marcan un punto de inflexión para el sector de los nombres de dominio. Al imponer procesos de KYC a los registrantes de nombres de dominio, la UE pretende mejorar la transparencia, la responsabilidad y la seguridad en el mundo digital. Los registradores de nombres de dominio tienen ahora un papel fundamental que desempeñar en la lucha contra la ciberdelincuencia, garantizando que los nombres de dominio que gestionan no sean controlados de forma anónima por actores maliciosos.

La implementación de mecanismos sólidos de KYC no solo ayuda a los registradores a cumplir con la NIS2, sino que también contribuye al objetivo más amplio de crear una Internet más segura y fiable para todos.

 

¿Necesita ayuda para navegar por la NIS2 y todos los cambios necesarios para cumplir con la normativa?

Póngase en contacto con nosotros para una consulta gratuita: