Pasar al contenido principal

Por qué el GDPR amenaza el futuro del WHOIS, uno de los protocolos básicos de Internet

Configuracion informatica
Pexels

A seis semanas de que entre en vigor el nuevo Reglamento Europeo de Protección de Datos (GDPR) impulsado por la Unión Europea las dudas se multiplican entre empresas, instituciones públicas y, sobre todo, ciudadanos sobre qué efectos tendrá exactamente en la práctica y qué medidas van a tener que tomar las diferentes organizaciones para poder ajustarse a las nuevas reglas de juego.

Las encuestas, por ahora, son desoladoras. Un reciente estudio realizado por NetApp, una empresa estadounidense dedicada al almacenamiento y procesamiento de datos, asegura que el 35% de la empresas internacionales cree que el nuevo reglamento de protección de datos podría llegar a representar un riesgo para su continuidad.

Otro informe apunta a que el 55% de las webs españolas todavía no se ajusta a las nuevas políticas de privacidad. Y lo que es peor: los ciudadanos parecen desconocer qué es el GDPR y qué implicaciones tendrá cuando entre en vigor el 25 de mayo. Así lo viene a confirmar otra reciente encuesta de la consultora Kantar, que sostiene que solo el 34% de los encuestados en Reino Unido conocía el GDPR en febrero.

Por qué es importante el protocolo WHOIS

El incierto panorama ante el nuevo reglamento de privacidad queda claro con la situación del WHOIS, un protocolo casi tan antiguo como internet que a día de hoy es un recurso de gran valor para las fuerzas de seguridad, ya que se trata de un protocolo estandarizado en todo el mundo que permite localizar nombres y datos de contacto del propietario de cualquier dominio web.

El problema es que toda esa información es, por defecto, pública gracias al acuerdo entre la ICANN, la institución internacional responsable de regular los dominios de internet y los registradores de dominios. A ojos del nuevo Reglamento Europeo de Protección de Datos el sistema pasará a ser ilegal, ya que el GDPR prohíbe a las empresas publicar información que pueda identificar a los individuos.

Leer más: El Reglamento General de Protección de Datos europeo hará casi imposible navegar por Internet y dará ventaja a las grandes empresas

¿Qué va a pasar entonces con WHOIS? A día de hoy es un misterio. Y puede llegar a ser un problema importante ya que este protocolo se utiliza a diario para detectar fraudes y actividad maliciosa, tanto por parte de empresas como incluso por fuerzas de seguridad. Claro que también es cierto que el sistema se ha desvirtuado con el paso del tiempo: se estima que el 40% de los datos que aparecen podrían ser fraudulentos e inexactos.

En los últimos tiempos los registradores de dominios han incluso permitido a sus clientes ocultar su información a cambio de pagar un extra, colocando en la información pública correos electrónicos y señas que apuntan al propio registrador del dominio, lo que tampoco estará permitido bajo el nuevo GDPR según explican desde Panda.

Una solución incierta

El futuro de WHOIS es incierto porque las instituciones todavía no han llegado a un acuerdo sobre cómo solucionar el problema. De hecho, la ICANN ha anunciado que no va a tomar medidas contra los registradores de dominios que no publiquen los datos de WHOIS, algo que a día de hoy están obligadas a hacer. 

GoDaddy, la empresa dedicada al registro de dominios más grande de todo el mundo, adelantó en enero que optaría por eliminar la mayor parte de los datos de contacto de sus 17 millones de clientes para que no puedan localizarse a través de las búsquedas por WHOIS. Y esa táctica podría ser el camino a seguir para otras muchas empresas, lo que significaría un golpe casi definitivo al protocolo nacido en los años 80.

Con el objetivo de aclarar la situación la ICANN ha enviado una propuesta de modelo provisional a las autoridades europeas para que evalúen si se ajusta al nuevo GDPR, pero todavía no existe respuesta. Goran Marby, presidente de la ICANN, había advertido de los riesgos que podría suponer que Europa no tome una decisión al respecto antes del 25 de mayo:

"A un alto nivel, esto podría, por lo menos temporalmente, poner en peligro una solución común y aplicable al acceso a los datos de registro con fines legítimos. Además, WHOIS, tal como existe hoy en día, podría fragmentarse si no se recibe suficiente asesoramiento y no se adopta un plan de acción", resumía Marby, que subraya de la posibilidad de que los registradores de dominio utilicen sus propios métodos para mostrar parcialmente o no los datos de registro, lo que podría llevar a que el WHOIS dejara de significar lo mismo para todo internet.

Leer más: Bajar precios y vender por internet: ¿Está cavando el comercio minorista su propia tumba?

Este jueves la ICANN anunciaba que había recibido una invitación a reunirse el próximo 23 de abril en Bruselas con el Grupo de Trabajo del Artículo 29 que trabaja en la implementación del nuevo Reglamento General de Protección de Datos (RGPD). Sin embargo, Marby ha expresado su preocupación ante la falta de avances palpables.

"Nos decepciona que en la carta no se mencione nuestra petición de aplicar una moratoria sobre la ley hasta que pongamos en práctica un nuevo modelo. Sin esa moratoria, WHOIS se fragmentará y debemos tomar medidas para mitigar este problema", insiste.

El modelo provisional propuesto por ICANN plantea que los registradores oculten los datos personales del WHOIS, mostrando a nivel público solo el nombre de la organización, el estado, el país del usuario y un correo electrónico (que no debe ser el del usuario sino uno genérico o incluso anónimo).

El resto de los datos, que incluyen toda la información personal, únicamente serían accesibles a través de procesos de acreditación estandarizados para unos propósitos concretos, de manera que el protocolo WHOIS pueda seguir siendo útil, por ejemplo, en investigaciones policiales.

Te puede interesar