Actualización (1 de marzo, 19 hs): Encontré datos muy interesantes sobre un sumario que realizó FIUNA (Facultad de Ingeniería de la UNA) al actual director del Centro Nacional de Computación, agregué detalles de este tema al final del post.

Actualización (1 de marzo, 23 hs): Si estás en Twitter y te preocupa la situación que describo en este artículo, te invito a hacer RT de este tweet.

Actualización (2 de marzo, 7 hs): Hablé con una empresa sueca llamada Netnod, manejan una parte importante de Internet en Suecia y el mundo, me pasaron precios de referencia para compararlos con los costos locales. Lo agregué también al final del post.

Recientemente reapareció en redes sociales la discusión sobre el NIC-PY, la entidad encargada de administrar y delegar los dominios “.py”. Decidí escribir este post para comentar algunos antecedentes que observé e investigué en los últimos años como también mencionar otras cosas más recientes. Me parece interesante que la gente no técnica entienda de qué se trata todo esto así que voy a empezar con algunas aclaraciones:

¿Qué es un dominio, qué es DNS y por qué es importante?

Un dominio es un nombre que se utiliza para facilitar el acceso a sitios web o servidores de Internet. A nivel global existe un sistema llamado DNS (Domain Name System) que se encarga de resolver estas direcciones, gracias a este sistema podemos escribir “google.com” en el navegador y acceder al sitio. Si el DNS no existiera, navegar en Internet como lo hacemos hoy en día sería tedioso y tendríamos que tipear números para acceder a cada sitio, ej.: 216.58.222.14, 45.60.51.20, 52.201.200.150, etc. Pensemos también en otros usos como el poder recibir/enviar correo electrónico, actualizar un celular, etc., es decir gran parte de lo que hacemos en Internet depende de este sistema.

Una analogía podría ser la agenda telefónica de un celular: es más eficiente guardar y anotar los nombres de los contactos con los que nos comunicamos con frecuencia, que escribir los números una y otra vez de forma manual.

Los dominios pueden tener distintas extensiones o TLDs (Top-Level Domain): “.com”, “.net”, “.org”, etc. También existen extensiones con código de país (ccTLD o country code Top-Level Domain), como “.py”, “.ar”, “.br”, etc., estas son gestionadas por entidades designadas en cada país, cada una define su costo, infraestructura, etc.

¿Qué es NIC-PY, cuándo y quiénes lo crearon?

Considerando la analogía que mencioné antes, en el caso de Paraguay quien se encarga de manejar esta “agenda” es una entidad llamada NIC-PY.

NIC-PY es el registro oficial de los dominios “.py”, las personas o empresas que desean obtener un dominio “.py” realizan una solicitud a través de la misma y abonan un monto por el servicio, de forma anual.

Según el sitio oficial:

El NIC-PY o NIC Paraguay es una entidad que brinda su servicio a través del Laboratorio de Electrónica Digital (LED) de la Universidad Católica de Asunción y del Centro Nacional de Computación (CNC) de la Universidad Nacional de Asunción.

Se estableció aproximadamente en 1996 (esta cronología de las TICs en Paraguay es muy buena).

¿Cuánto cuesta un dominio “.py”?

Un dominio “.py” cuesta Gs. 200.000 por año, unos 36 U$ al cambio actual. El costo no tuvo demasiadas variaciones, si chequeamos el sitio web de NIC-PY en 2001, encontramos que estaba en Gs. 170.000.

Es interesante mencionar casos como el de Argentina: los dominios “.ar” fueron gratuitos por mucho tiempo, ¡desde 1987 hasta el 2014! Los aranceles se instalaron en el año 2014 cuando el sistema se encontraba manejando ya 3 millones de dominios. El costo actual de un “.ar” ronda los Gs. 75.000.

En Bolivia encontramos precios similares a los de Paraguay y otros más altos para dominios con extensiones más comerciales: por ejemplo es más barato comprar un “.com.bo” que un “.bo”. En Brasil el precio es de Gs. 70.000.

Un dominio global como el “.com” cuesta alrededor de Gs. 50.000 por año.

¿Qué pasa si el NIC-PY deja de funcionar o sufre algún problema?

Los dominios podrían dejar de funcionar y en el caso de una intrusión al sistema, se podrían manipular los dominios para que apunten a otros servidores. Algo como esto ocurrió en el 2014 cuando un hacker iraní modificó el dominio de Google Paraguay (sí, Google tiene un dominio “.py” y el NIC-PY también es responsable del mismo):

Sitio web que aparecía bajo el dominio paraguayo de Google (google.com.py), fuente: Softpedia

A continuación van las dudas principales del post:

¿Cómo se sostiene el NIC-PY, cuánto recauda y qué se hace con ese dinero?

Una gráfica con lo recaudado cada año en base a cantidad de dominios activos

En la intrusión que ocurrió en 2014 se había liberado información de todos los dominios existentes hasta ese momento, había realizado un pequeño análisis de la información y el resultado fue que existían alrededor de 20.000 dominios “.py” activos, con esa información realicé un gráfico para ilustrar los montos que estos representan (ver a la izquierda).

Ahora planteemos el siguiente escenario: que desde el 2014 hasta el 2018 estos 20.000 dominios siguieron renovándose y que el costo no se modificó en este plazo: 20.000 dominios x Gs. 200.000 = Gs. 4.000.000.000 en un año o U$ 727.272.

Si consideramos el período completo tenemos: Gs. 4.000.000.000 x 3 años = Gs. 12.000.000.000 o U$ 2.181.818.

En 1996 sólo existían 25 dominios “.py” (dos de estos “.gov.py”). Google, la víctima de la intrusión que mencionaba antes, registró “google.com.py” en el año 1999. A principios de los 2000 llegamos ya a los miles de dominios. Lo que quiero mostrar con esto es que el escenario de arriba podría retornar cifras mucho mayores si consideramos los montos de los dominios que aparecieron en los últimos 3 años, probablemente la cantidad de dominios activos siguió/sigue en aumento.

Entonces: ¿qué se hace con ese dinero?

No lo sabemos, no existen datos públicos oficiales sobre este tema.

La última vez que se solicitó esta información fue a mediados del año 2017:

Solicitud de información realizada a través del Portal Unificado de Información Pública, fuente aquí

Unos 15 días después, el director general del Centro Nacional de Computación emite la siguiente respuesta:

Respuesta a la solicitud de información, fuente aquí

A mi parecer el argumento es muy malo, la solicitud de información no está destinada a la Universidad Católica de Asunción, habla claramente de los manejos que tiene el Centro Nacional de Computación (que es parte de la Universidad Nacional de Asunción) con respecto al NIC-PY y los dominios “.py”. Además la solicitud habla de “recaudación”, no pregunta cuál es el costo de los dominios “.py”, los enlaces que aparecen son totalmente irrelevantes.

Otra cosa que me parece debe aclararse es la relación que tiene la Universidad Católica de Asunción con el NIC-PY o su par, el Centro Nacional de Computación, ya que se realizan adjudicaciones año tras año en concepto de “servicio de delegación de dominio”, como esta, por valor de 1 millón de U$ (las cifras del escenario que mencioné más arriba no están tan lejos de esto):

Adjudicación de 1 millón de U$ del Rectorado de la UNA a la Católica, fuente: DNCP

De alguna forma la solicitud de información que se realizó el año pasado tenía como objetivo profundizar en esta y otras cuestiones.

Revisando correos antiguos encontré este mensaje, es uno de los mensajes que se enviaron a la SOTIC (Sociedad de Tecnologías de la Información y Comunicación), una organización que se había ofrecido para intermediar y hacer llegar algunas observaciones de la comunidad al NIC-PY, allá por el 2014, luego del incidente de seguridad. Este mensaje fue escrito por un representante de Internet Society en Paraguay y me pareció curioso ya que las dudas que plantea siguen vigentes hasta el día de hoy:

Observación de un miembro de Internet Society Paraguay sobre el NIC-PY, fuente: correo personal

Mi experiencia con el NIC-PY

En el 2008 solía pasar bastante tiempo leyendo y practicando cosas de seguridad informática, en una de esas pensé que sería interesante revisar este sitio:

Sitio web del NIC-PY en el 2008

Descubrí que mediante este formulario, destinado a obtener información de dominios, era posible ejecutar comandos en el servidor del NIC-PY. Se trataba de una vulnerabilidad de command injection:

Lo más sorprendente de esta situación fue descubrir que en el 2008, el sitio que utilizaban y mantenían en línea tenía como 10 años de antigüedad y que la vulnerabilidad había estado vigente todo ese tiempo. Fue un gran dilema y pensé lo siguiente: ¿cuánta gente más descubrió esta vulnerabilidad y/o la explotó de forma silenciosa, o muy específica sin que nadie lo note y con qué fines? ¿Ya sabían los del NIC-PY sobre esta vulnerabilidad? ¿Si reporto esto me darán una recompensa (al estilo de los bug bounty que tienen las organizaciones modernas)?

Finalmente reporté la vulnerabilidad a través de un amigo que trabajaba ahí dentro y nunca volví a saber sobre el tema. Decidí comentar esta historia solo para darle seguimiento a lo que viene a continuación…

Un ataque desde Irán

Como había mostrado más arriba, el 20 de febrero del 2014 el dominio “google.com.py” empezó a fallar, una consulta a los nameservers del mismo retornaba valores extraños y los registros A apuntaban a un servidor personal que servía esta página web:

Sitio web que aparecía bajo el dominio paraguayo de Google (google.com.py), fuente: Softpedia

Empecé a investigar sobre estos dos usuarios y encontré que mantenían un blog en el que relataban sus hazañas con los servidores/sitios que lograban vulnerar, lastimosamente muchos de los posts -incluyendo el que era sobre el NIC-PY- fueron eliminados. El periódico ABC Color lo relataba así:

Sobre el incidente de seguridad del 2014, fuente: ABC Color

El programa Mandiocast también me preguntó sobre este incidente:

También encontré esta grabación de Gustavo Velazquez hablando con el ministro de SENATICS, David Ocampos, sobre el mismo tema:

En ese momento decidí contactar con el atacante, que utilizaba el seudónimo de “Mormoroth”, para ver si podía proporcionarme detalles técnicos de la vulnerabilidad que había utilizado, fue increíble enterarme que había utilizado la misma vulnerabilidad que reporté en 2008 (¡seis años antes de este nuevo incidente, aún sin corregir!). La identidad de “Mormorth” incluso aparece en un reporte de HP Security Research sobre la escena hacker iraní (estudiaba ingeniería en petróleo):

El hacker iraní en un reporte de HP Security Research, fuente: Micro Focus(ver el adjunto)

Un tiempo después de este incidente el sitio web fue rediseñado, aunque las críticas siguen apareciendo tanto en redes sociales como en grupos cerrados de diseño o programación web, con los argumentos de siempre: problemas de atención al cliente, burocracia, falta de servicios (como WHOIS), precios, etc.

Sumario de la FIUNA al director del CNC

Buscando información sobre Ignacio Daniel Velázquez Guachire, el actual director del Centro Nacional de Computación, encontré el detalle de un sumario que culminó en mayo del 2017. La denuncia señala que esta persona se habría desempeñado como profesor de la FIUNA en forma irregular cometiendo cosas como: superposición entre la carga horaria requerida por los cargos asignados, designación de manera irregular de rubro “docente investigador” sin perfil requerido e incumplimiento de carga horaria.

También se mencionan los diversos roles asociados a Velázquez en ese momento:

El sumario concluye que los hechos de superposición de funciones y asistencia irregular (¡percibiendo una remuneración sin haber realizado el trabajo!) fueron comprobados:

Este antecedente me parece muy interesante ya que efectivamente el desempeño de Velázquez al frente del Centro Nacional de Computación se vio impactado por esta situación. En segundo lugar, ¿cómo sabemos que no están ocurriendo estas cosas en la gestión del NIC-PY o en el trabajo del CNC, específicamente?

¿Cuánto cuesta operar un TLD?

Contacté con una empresa sueca muy interesante llamada Netnod, operan distintos puntos de interconexión de Internet en su país, como también uno de los servidores raíz del sistema DNS, también dan soporte al DNSSEC de los dominios “.se” -que corresponden a Suecia-. Su sitio web oficial es este. Los conocí hace unos años durante un evento de tecnología y tienen hasta búnkers para respaldar parte de su infraestructura en caso de bombas, etc.

Uno de los servicios que ofrecen es el de “hosting” para los TLDs, la idea detrás de esto es que si una organización como NIC-PY desea “tercerizar” la operación de su extensión “.py”, pueda contar con los servicios de esta empresa y la misma se haga cargo de las tareas técnicas.

Nota: no estoy sugiriendo que el NIC-PY contrate servicios de una empresa extranjera, aquí hay cuestiones importantes como la jurisdicción de nuestros datos, etc. Lo que voy a comentar a continuación tiene un propósito únicamente ilustrativo para que podamos tener un precio de referencia del costo de operar un servicio de DNS en Suecia, con todos los estándares que deben cumplir en Europa, etc. Así que aquí va:

Hablé con Patrik, el director de investigación y desarrollo y le plantee este escenario: si el NIC-PY quisiera delegar toda la operación de los dominios “.py” con Netnod, asumiendo que hay alrededor de 20.000 dominios activos, ¿cuánto saldría anualmente? Me respondió que esa cantidad de dominios es muy pequeña, que los TLDs que manejan ellos suelen tener al menos 100.000 dominios y que los costos para un TLD con 20.000 dominios no pasarían los 15.000 U$ anuales.

Este dato es impactante si pensamos en la cantidad de dinero que mueve el NIC-PY, a todo esto, hay una licitación prevista para este mes, donde nuevamente el Rectorado de la UNA pagará dinero a la Universidad Católica, ¿cuál es el monto? Gs. 5.400.000.000 o alrededor de 980.000 U$: