ICANN se enfrenta a un dilema: la entrada en vigor del Reglamento General de Protección de Datos (GDPR) de la Unión Europea tendrá un impacto crucial en la base de datos Whois, la cual recopila y publica información sobre quién gestiona los sitios de internet.
Este fue el plato fuerte de la reciente Icann61, reunión donde se discutió que esta información ahora se vuelve “privada” en nombre de la protección de los datos personales, pero con el riesgo de ocultar datos útiles sobre quién administra los sitios para bloquear la propagación de malware, spam, piratas informáticos y actividades delictivas en línea.
La base de datos Whois, que recopila datos sobre millones de nombres de dominio, es un recurso ampliamente utilizado por los departamentos de IT de las empresas y por las compañías de seguridad cibernética para detectar posibles riesgos de seguridad de la red, investigar delitos cibernéticos y bloquear amenazas. Sin embargo, el GDPR, que entrará en vigor el 25 de mayo, impone un límite a los datos que pueden hacerse públicos sin el consentimiento del propietario.
Los datos de Whois pueden “oscurecerse” según el principio de privacidad del dominio: esta es una opción ofrecida por los proveedores de servicios de registro de dominio (registradores). No obstante, ICANN exige, en principio, poner a disposición pública la dirección, el número de teléfono y la dirección de correo electrónico del propietario u operador de un dominio.
Según analistas del sector, por un lado, ello expone las referencias al uso indebido de sus datos por parte de spammers, ladrones de identidad, etc… Por otro lado, permite a quienes investigan amenazas de la red saber quién dirige un sitio de internet.
Conscientes del dilema que el GDPR ha creado, desde ICANN indicaron que han empezado a trabajar en un nuevo protocolo para acceder a Whois, el cual estará listo el 25 de mayo.
ICANN presentó una propuesta de último momento a la reunión de partes interesadas para alinear Whois con los requisitos del GDPR. El plan prevé limitar el acceso público (las empresas que venden nombres de dominio podrán divulgar información sobre nombres, direcciones y otros datos identificativos de sus clientes en cualquier parte del mundo), pero para preservar el acceso a las instituciones “acreditadas”, como los organismos encargados de hacer cumplir la ley, los profesionales de la ciberseguridad y los abogados.
La organización propuso que el sistema de acreditación y el código de conducta a seguir para los organismos acreditados sean elaborados por el comité asesor gubernamental (GAC) y el comité de ICANN que representa a los diversos gobiernos nacionales.
No obstante, el plan ha sido rechazado por muchos, principalmente, por organismos y empresas que basan sus actividades en la base de datos Whois.
Habrá que esperar para saber si, efectivamente, el 25 de mayo habrá un nuevo protocolo para acceder a Whois.