El debate sobre la soberanía digital gira en torno a la nube, los modelos de IA y los centros de datos. Se habla de proveedores de alojamiento y de jurisdicciones. Casi nunca se mencionan los dos protocolos sin los cuales nada de esto funcionaría. Ningún responsable los supervisa. Sin embargo, el día que uno de los dos falle, el resto caerá con él. Analicémoslos, sin dramatizar.
Qué hace el DNS y dónde están los puntos de control
El DNS es la agenda de direcciones de Internet. Tecleas un nombre, tu ordenador necesita un número, la dirección IP, para conectarse con el equipo al que te diriges. El DNS traduce uno en otro. Sin esta traducción, los nombres no llevan a ninguna parte. Todo lo que haces en línea empieza con una consulta DNS que nunca ves.
El sistema es jerárquico, y ahí es donde se encuentran los puntos de control. En lo más alto, la raíz. Trece conjuntos de servidores raíz, coordinados bajo los auspicios de la ICANN, una entidad de derecho estadounidense. Por debajo de la raíz, los registros: el que gestiona el .com, el que gestiona el .fr, la Afnic en este caso. Por debajo de los registros, los registradores que te venden tu nombre de dominio. Y en el otro extremo de la cadena, los resolutores: los servidores que realizan la traducción para tu red.
Se identifican tres puntos vulnerables. La raíz y su marco jurídico, que concentran la coordinación mundial. El registro de tu extensión, que puede suspender un nombre. Y, sobre todo, el resolutor que utilizas a diario. Muchas organizaciones permiten que sus máquinas consulten los resolutores públicos de Google o Cloudflare, por defecto, sin una decisión consciente. Este resolutor ve pasar cada nombre que solicitas. Se trata de un registro de navegación completo, confiado a un tercero que nadie ha elegido.
Qué hace el NTP y por qué la hora es fundamental
El NTP sincroniza los relojes de los equipos. Cada servidor, cada ordenador, cada equipo de red ajusta constantemente su hora según una fuente de referencia, mediante capas sucesivas que se denominan «estratos», desde un reloj atómico o una señal de satélite hasta tu equipo. Se suele considerar un detalle técnico. Sin embargo, es una dependencia fundamental.
Sin una hora precisa, la criptografía se desajusta. Un certificado TLS tiene una fecha de inicio y una fecha de finalización. Si el reloj se desvía, el certificado se considera caducado o aún no válido, y la conexión segura falla. Los tokens de autenticación, los códigos de un solo uso y los protocolos de marca de tiempo se basan todos en una hora común. Si se desajustan los relojes, la seguridad se derrumba en silencio.
Sin una hora coherente, los registros se vuelven ilegibles. Correlacionar un incidente entre diez servidores supone que los diez fechan sus eventos en la misma escala. Una desviación de unos pocos segundos y la cronología de un ataque se vuelve imposible de reconstruir. Sin una hora fiable, las transacciones financieras pierden su orden. Los mercados regulados imponen una sincronización al microsegundo precisamente por esta razón. El tiempo no es una simple comodidad. Es la infraestructura que sustenta toda la infraestructura.
Y la fuente por defecto suele ser única: un grupo público o los servidores del fabricante del sistema operativo. Una dependencia silenciosa, una vez más.
Por qué el debate político se tuerce
En cuanto se llevan estos protocolos al terreno político, la discusión se descarrila, y siempre de la misma manera. Un bando quiere recuperar el control, lo que rápidamente se traduce en una recentralización: un resolutor nacional, una raíz regional, un tiempo de referencia soberano. El otro recuerda que la solidez de estos protocolos proviene precisamente de su distribución, y que fragmentarlos por fronteras los haría más frágiles, no menos.
Ambos tienen algo de razón, y por eso el debate no avanza. La raíz del DNS está efectivamente sujeta a una legislación extranjera, eso es un hecho. Pero construir una raíz alternativa equivaldría a dividir el espacio de nombres y, por tanto, a romper la universalidad que constituye el interés de Internet. Del mismo modo, un resolutor único impuesto a escala nacional crea un punto de control donde antes no lo había.
La trampa es siempre la misma: se quiere regular un objeto sin decir cuál. ¿Regular la raíz? Nadie tiene poder para hacerlo por sí solo. ¿El resolutor? En ese caso, sí, una organización decide. ¿La sincronización horaria? Una organización también decide. La soberanía útil no se juega en lo más alto de la jerarquía, fuera de nuestro alcance. Se juega allí donde realmente tienes el control.
Lo que una organización puede hacer ahora
No hace falta esperar a una norma europea dentro de veinte años. Hay cuatro medidas al alcance de la mano desde hoy mismo.
Recupera el control sobre la resolución DNS. Aloja tu propio resolutor o elige uno cuyo operador y legislación aplicable conozcas, en lugar de dejar que tus equipos apunten por defecto a un resolutor público del que no sabes nada. De este modo, recuperarás el registro de tus propias consultas.
Diversifica tus fuentes de tiempo. Configura varios servidores NTP de orígenes diferentes, y no todos con el mismo proveedor. Una organización expuesta a riesgos sale ganando si dispone de una referencia interna, por ejemplo, un receptor de señal por satélite, para no depender de una única fuente externa.
Activa DNSSEC. Esta extensión firma criptográficamente las respuestas DNS y garantiza que un nombre no haya sido desviado durante el trayecto. Se implementa tanto en el dominio como en el resolutor, y bloquea toda una clase de ataques.
Supervisa ambos. Un panel de control que supervise la desviación de tus relojes y el estado de tu resolución DNS tiene un coste reducido y revela las averías silenciosas antes de que se conviertan en incidentes. Lo que no se mide, no se ve cuando falla.
El DNS y el NTP nunca serán noticia de portada. No tienen ni logotipo ni bandera que enarbolar. Pero son dependencias verificables, con puntos de control conocidos y medidas de protección concretas. La soberanía comienza allí donde dejas de sufrir configuraciones por defecto que nadie ha decidido.
Fuentes
- ICANN, funcionamiento del sistema de servidores raíz, icann.org
- Afnic, gestión del registro
.fr, afnic.fr - RFC 1035 (DNS) y RFC 5905 (NTPv4), IETF
- ANSSI, recomendaciones sobre la seguridad del DNS y DNSSEC, cyber.gouv.fr
- ESMA / MiFID II, requisitos de sincronización de relojes para los mercados regulados