ENISA menciona en su ultimo estudio sobre verificación y autenticación de los propietarios de dominios diferentes buenas practicas para la ciberseguridad de los DNS.

El Sistema de Nombres de Dominio (DNS) es una parte crítica de la infraestructura de internet. Principalmente, funciona como una base de datos de nombres distribuida en la que se localizan y traducen los nombres de dominio a direcciones de Protocolo de Internet (IP).

Estrechamente vinculado al funcionamiento del DNS se encuentra el registro de nombres de dominio, un proceso esencial para el funcionamiento de internet que implica que un registrante adquiera un nombre de dominio de un registrador de nombres de dominio. Proteger al máximo estos registros evitará y minimizará los ciberataques.

Seis buenas prácticas de ciberseguridad para DNS

Autenticación de dos factores para el establecimiento de cuenta de registro con el objetivo de mejorar la verificación de posibles registrantes de nombres de dominio. Esta autenticación sirve para complementar la seguridad de credenciales de nombre de usuario/contraseña evitando ataques de fuerza bruta, diccionario y otros y evitar ataques DDoS en la provisión de cuentas de registro.

Cuando estén disponibles, utilizar identificaciones electrónicas nacionales como credenciales de cuenta con el objetivo de aprovechar los enfoques nacionales existentes para identificar a ciudadanos y consumidores. Esta práctica mejora la verificación del propietario del nombre de dominio utilizando identidades electrónicas nacionales establecidas, aborda el secuestro de nombres de dominio y los riesgos asociados con ataques a credenciales mediante el uso de identidades verificadas a nivel nacional

Verificación de la identidad de los registrantes a través de cuenta bancaria y datos de PCI DSS con el objetivo de utilizar herramientas de verificación de pagos existentes para ayudar en la verificación de la identidad de los propietarios de nombres de dominio. Así se puede evitar información falsa de la cuenta de registro mediante la verificación a través de canales de pago.

Utilizar verificación de terceros como capa adicional de garantía para aprovechar los servicios de verificación de terceros con el objetivo de mejorar la verificación de la identidad de los propietarios de nombres de dominio. Así se puede evitar información falsa de la cuenta de registro complementando otras fuentes de verificación a través de servicios de terceros. Prevenir el secuestro de cuentas.

Soporte para notificaciones push a los registrantes con el objetivo de permitir a los propietarios de nombres de dominio ser notificados cuando se realice cualquier cambio en los registros asociados con su cuenta. Así, se pueden evitar cambios no autorizados en las cuentas de registro que puedan conducir al secuestro de nombres de dominio y otros vectores de ataque.

Uso deI DAS cuando sea posible para identificación y autenticación para permitir a los registrantes de nombres de dominio utilizar eIDAS como una herramienta para la verificación de su identidad. Así se puede proporcionar un enfoque común y estandarizado para establecer la identidad y se evitan riesgos de registros infractores, sospechosos o ilegales utilizando eIDAS como una herramienta de gestión de identidad y verificación de la identidad.