Client Area Sign In

Openprovider Support

Contact our support department using the form on this page. For more information about the availability of our support team, please visit our Knowledge Base. Here, you can also find answers to many questions.




¿Ha reducido el RGPD el spam de dominio?

Hace medio año que el Reglamento General de Protección de Datos, conocido por su acrónimo RGPD, está en vigor. La recopilación, almacenamiento y publicación de datos personales es muy limitada y, aunque todavía no es perfecta, en la actualidad la privacidad está en la mente de todos.
En lo que concierne al registro de dominios, el mayor impacto del RGPD es sobre los whois de dominios genéricos de nivel superior (gTLD en sus siglas en inglés). Permítanme explicarles brevemente esos dos términos, siendo ambos importantes para comprender el ámbito de esta publicación de blog.

  • El whois es un directorio de datos, mantenido por registros y/o registradores, que contiene los datos de registro de todos los nombres de dominio. Los datos almacenados incluyen el nombre de dominio, el estado del dominio, la fecha de vencimiento, el registro y los contactos del dominio.
  • Un gTLD es cualquier extensión de dominio que no sea un código de país: .com es un gTLD, .uk no lo es; .info es un gTLD, .cn no lo es; .berlin es un gTLD, .de no lo es; .eu es … bueno, incluso el registro EURid no lo sabe, pero al menos .eu no está controlado por el coordinador de la ICANN, por lo que lo consideramos un código de país. Hagámoslo simple: cada extensión que tiene 3 o más caracteres es un gTLD.

No cubro los ccTLD (dominios de nivel superior de código de país) aquí, ya que en la mayoría de los casos su servicio de whois ya estaba bastante restringido antes de la fecha de aplicación del RGPD.

La era del whois abierto, sin restricciones

La ICANN siempre ha aplicado un whois abierto en sus contratos con registros y registradores. Todos los datos de contacto del propietario del dominio, del contacto administrativo y del contacto técnico eran publicados sin restricciones. Esto es perfecto si se desea ponerse en contacto con el titular del dominio porque desea comprar su dominio. También lo es si se desea ponerse en contacto con el contacto técnico del dominio porque los nameservers han caído o si se está haciendo investigación estadística. Además, ese sistema es perfecto si eres un abogado de marcas registradas y deseas ponerte en contacto con el propietario de un dominio que infringe una marca registrada.
Por otro lado, los datos personales conllevan posibles abusos: el primer ministro no quiere que todo el mundo sepa su número de teléfono; el titular de un dominio de un sitio web fuertemente polarizador no quiere que sus oponentes visiten la dirección de su home; el registrante de un sitio web no desea verse inundado por ofertas no solicitadas de diseño web o servicios de optimización de motores de búsqueda.
Este último ejemplo es de lo que trata esta publicación de blog.

Una breve nota sobre lo fácil que fue obtener todos los datos de dominios acabados de registrar: los gTLD deben abrir sus zone files a casi cualquiera. Podría (y aún puedo), obtener en cualquier momento una lista completa de todos los nombres de dominio registrados en la zona de gTLD y comenzar a rastrear los whoises para recuperar las direcciones de correo electrónico vinculadas. Con casi 200.000.000 gTLD registrados, ésta es una fuente de datos muy valiosa. Si lo hago a diario, puedo encontrar fácilmente todos los dominios registrados en las últimas 24 horas.

La era del whois restringido.

Desde que el RGPD entró en vigor, los datos de contacto que están disponibles públicamente a través del whois están limitados al nombre de la compañía, estado / provincia y código de país, junto con una dirección de correo electrónico anónima o un enlace a un formulario de contacto. Un ejemplo es la salida de whois de openprovider.com a la derecha. Haga clic en la imagen para ampliar.
En otras palabras: ya no hay relación entre el nombre de dominio y la dirección de correo electrónico de contacto. Nadie puede encontrar la dirección de correo electrónico del titular del dominio a partir de los datos de whois del nombre de dominio respectivo.

¿Entonces, nos hemos desecho finalmente del spam de dominio?

Teóricamente, con el whois limitado a la información más básica, las prácticas del pasado ya no son posibles. Sin embargo, la teoría no siempre se corresponde con la situación en la vida real… Recientemente, investigamos dos preguntas no relacionadas entre sí de dos de nuestros clientes más apreciados. Ambos clientes se quejaron de spam relacionado con el dominio al titular de este mismo dominio, poco después del registro de un nuevo dominio.
La pregunta justificada fue: ¿Openprovider filtra datos? La respuesta es no. Pudimos profundizar en cada caso hasta llegar a una explicación lógica.

Dato: los datos no se publican en ningún sitio.

¿Cuáles son las posibles fugas? Por supuesto, nuestro propio servidor whois, que Ia ICANN nos exige que ejecutemos. Les puedo asegurar que no filtramos datos allí. Puedo estar tan seguro de eso porque los campos “SUPRIMIDO POR PRIVACIDAD” están sólidamente codificados en nuestra implementación: aún no hemos implementado una forma de divulgar datos whois para solicitantes elegibles.
Eso nos lleva al servidor whois del registro. La mayoría de los casos estaban relacionados con los dominios .com y .net. Una vez más, puedo asegurarles que no se filtran datos allí: Verisign, el registro de .com y .net, ¡ni siquiera admite objetos de contacto en su sistema de registro! En otras palabras, nunca enviamos datos de contacto a Verisign
Otros registros ejecutan su propio servidor whois, incluidos los datos de contacto almacenados en sus sistemas, pero al igual que nosotros, esos registros están sujetos a las reglas de la ICANN. Inmediatamente a partir del 25 de mayo de 2018, esos registros ocultaron los campos de datos personales. No puedo garantizar que eso sea así en todos los registros de gTLD, pero las quejas se refieren a los más grandes: .org, .biz, .info y sólo un dominio más secundario: .art. Por consiguiente, aunque no puedo hablar por todos ellos, estoy bastante seguro.

Un breve apunte sobre la diferencia entre recopilación y publicación: el RGPD hasta el momento solo afecta a los datos publicados. Bajo el capó, los datos de contacto completos aún son recopilados por el registrador y la mayoría de los registros, y los datos de contacto completos se comparten con un depositario designado como parte de los requisitos de la ICANN. Sin embargo, la publicación es estrictamente limitada

Otras fuentes potenciales requieren acciones ilegales: por supuesto, nuestros sistemas pueden ser pirateados (no creemos que sucediera), los sistemas de registro pueden ser pirateados (tampoco lo creemos), el proveedor de custodia de datos puede ser hackeado (posibilidad pequeña, además, todos los datos están encriptados) y vuestros sistemas pueden ser pirateados (supongo que eso también es poco probable, solamente con el objetivo de enviar spam a los propietarios de dominios).
Teniendo en cuenta todo lo anterior es bastante improbable que el spamming se produzca a una escala tan grande debido a que los datos de origen estén disponibles.

Suposición: ¿qué pasó?

Todos los casos que investigamos se pueden dividir en tres escenarios, entre los cuales el segundo y el tercero tienen más probabilidades de ocurrir a gran escala. Para una comprensión completa, es importante saber que los archivos de zona de los registros todavía están disponibles: si lo desean, pueden descargar una lista nueva de dominios todos los días y saber qué dominios se han registrado durante las últimas 24 horas.

  1. Algunos sitios web muestran claramente los detalles de contacto: si domain-x.com está registrado y coloca en él un gran banner “¡Contacto se reunió en información@dominio-x.com!”, Usted elige deliberadamente revelar sus datos personales.
  2. Los spammers pueden usar direcciones estándar: si domain-y.com está registrado, intente enviar un correo electrónico a info@domain-y.com.
  3. Pero lo más probable es que los spammers utilicen proveedores de servicios profesionales como domaintools.com o whoxy.com. Esos proveedores tienen décadas de historia en millones de dominios, incluidos datos personales de la época anterior al RGPD. En mi opinión, no se les permite almacenar y publicar, pero es un hecho que todavía lo hacen y estos datos se utilizan. Voy a dar algunos ejemplos.

Ejemplo 1: openprovider.page

El dominio openprovider.page se registró el 10 de octubre de este año con el nombre de Openprovider, en nuestra dirección actual (Kipstraat en Rotterdam), que es invisible en el whois, por supuesto.
Sin embargo, los detalles que se muestran son una dirección de la que nos mudamos hace unos 15 años, la persona de contacto no es la que realmente está vinculada al dominio y todos los demás datos personales también son incorrectos.
Al buscar este dominio en Whoxy.com, afirman conocer los datos personales del titular.
Supongo que estos datos provengan de un dominio anterior (probablemente un dominio de prueba) que también se registró con el nombre “Openprovider”.
Whois spam openprovider.page
 

Ejemplo 2: coincidencia histórica incorrecta

El segundo ejemplo (no revelaré el nombre de dominio, ya que es propiedad de un usuario final que no está al corriente) refuerza mis suposiciones. El whois público muestra que el dominio está registrado en la empresa holandesa Masoko. Whoxy.com (¡No tengo acciones en esa empresa!) muestra correctamente a “Masoko” como propietaria, pero los datos de contacto son los de una empresa sueca sin ninguna relación con este nombre.

Ejemplo 3: Datos limitados por el RGPD

Un último ejemplo de la vida real es un dominio registrado en la empresa Proto-Service. Al parecer, Whoxy.com no pudo vincular el nombre de esta compañía a ningún dato recolectado previamente, y, por lo tanto, no muestra nada más que “SUPRIMIDO POR PRIVACIDAD”:

¿Qué prueba esto?

Seamos honestos, ésos son ejemplos que ilustran mis suposiciones. Podéis considerarlos sesgados. No prueba nada, pero espero haber explicado en esta publicación del blog por qué prefiero explicar “el spam relacionado con el dominio después del 25 de mayo” como un producto de mentes inteligentes que como resultado de la filtración de datos.
Cada ejemplo que hemos investigado hasta ahora puede explicarse a través de lo que escribí en esta publicación del blog.
Todavía estoy buscando un ejemplo que no se pueda explicar de esta manera: un dominio, registrado en una dirección de correo electrónico única que no se utilice en ningún otro lugar, que reciba correo no deseado relacionado con el dominio. Por ejemplo, domain-z.com está registrado con la dirección de correo electrónico firstname@domain-z.com, que no se publica ni se utiliza en ningún otro lugar de Internet. ¿Podría ser posible que se reciba spam relacionado con el dominio en esta dirección de correo electrónico? ¡Yo lo dudo! ¡Pero si os encontráis con esta situación, investigaremos y os pagaremos una cerveza!

Ah, y ¿qué pasa con la pregunta?

Tenéis razón, la pregunta en el título de esta publicación de blog es si el RGPD dio como resultado una reducción del spam relacionado con el dominio. Honestamente, no lo sé. A pesar del título, mi intención era explicar lo anterior en lugar de hacer un análisis numérico. ¡Con mucho gusto se lo dejo a los expertos! Por ejemplo, una de las principales agencias antispam, Spamhouse, no ve una prueba clara y afirma que es demasiado pronto para decirlo

Lo siento, debes estar conectado para publicar un comentario.
Menú