Tras conocerse los recientes descubrimientos de agujeros en la aplicación BIND, el nuevo servicio se hará efectivo en el plazo de un mes.

Internet Services Corporation (ISC), organismo sin ánimo de lucro, creador de los programas más utilizados para implantar el servicio de nombres de dominio, ha anunciado la formación de un sistema de seguridad, una especie de alerta constante que informe a los usuarios de los riesgos de seguridad que se produzcan conforme vayan surgiendo. Esta decisión ha sido tomada tras los recientes descubrimientos de varios agujeros de seguridad en el BIND, el sistema más utilizado de nombres de dominio en la Red, que podrían permitir a un pirata atacar un servidor o tomar su control aprovechando esta vulnerabilidad.

ISC no contaba con un servicio de seguridad para coordinar nueva información sobre agujeros y soluciones, al margen del sistema del CERT, Equipo de Respuesta de Emergencias Informáticas de la Universidad Carnegie Mellon, que cuenta con la desventaja de que la información es pública y está a disposición al mismo tiempo tanto de los usuarios, como de posibles piratas o hackers que utilizarían estos datos para hacer más dañinos sus ataques.

El mes que viene el ISC va a instaurar un nuevo servicio de información de pago, por el que se tendrá que abonar una cuota, con la excepción de las organizaciones sin ánimo de lucro. Este sistema proporcionará alertas tempranas a todos aquellos que necesiten resolver problemas de seguridad y para suscribirse se deberá completar un registro, además de emplear correo electrónico encriptado cuando se trate de asuntos relacionados con BIND.

Se tratará de un canal cerrado de información y desarrollo de software para que las empresas y los desarrolladores puedan crear soluciones para sus problemas específicos con el BIND antes de que se hagan públicos. Algunas voces críticas han considerado de forma negativa esta novedad, al pensar que el cobro de una cuota por tener acceso a información es limitar las posibles soluciones al problema.

El ISC ha salido al paso de estas afirmaciones, señalando que toda la información se seguirá compartiendo con el CERT y que simplemente se trata de mantener una relación directa con los desarrolladores de productos.