“Si volviésemos a diseñar Internet, tendría que tener más privacidad y seguridad”
31/05/2017
Estuvo unos meses viviendo en Montevideo y colaborando con el equipo de LACNIC. Daniel Karrenberg, uno de los pioneros de Internet en Europa y uno de los fundadores de RIPE, se acomoda en la silla dispuesto a contar su experiencia en la región mientras se ceba un mate, infusión típica de estas zonas del Cono Sur.
La extensa charla recorre el agotamiento de IPv4, los caminos para profundizar el despliegue de IPv6, el compromiso de la comunidad para mantener un correcto registro de las direcciones IP, y hasta el nuevo papel de los Registros Regionales.
Dialogar con este alemán, nacido en Düsseldorf hace 58 años y residente en Holanda, es una invitación al optimismo sobre el futuro de Internet.
P: ¿Cómo observa que se está viviendo la transición de IPv4 a IPv6 en la región de LACNIC?
A: En realidad lo vimos un poco desde el punto de vista de la investigación y recogimos algunos datos. Es muy interesante ver que muchos ISP de la región han anunciado prefijos IPv6, de modo que desde el resto de Internet pueden ser alcanzados por IPv6.
Si observamos las cifras y comparamos las cinco regiones, vemos que en realidad la región de LACNIC tiene el mayor porcentaje de sistemas autónomos alcanzables por IPv6 del mundo. Pero por supuesto esto es solo una mitad de la historia, la parte hacia el resto de Internet. Si miramos la otra mitad de la historia usando datos como los que recogen Google o Geoff Huston de APNIC, vemos que hay muy poco tráfico IPv6 que realmente se origina en la región. De modo que los ISP están aceptando conectividad IPv6 desde el resto de Internet, pero hacia sus clientes no es mucho lo que están haciendo. Eso es lo que parece. Esto tampoco sorprende demasiado, dado que incluso en algunos países de nuestra región sucede exactamente lo mismo. Mayormente se trata de una decisión de negocios de cada ISP —que debe decidir si desea invertir en el despliegue de IPv6 hacia sus clientes— y esta decisión puede estar determinada por diferentes razones. Para los proveedores de contenido, la principal razón es hacer que su contenido esté disponible en forma universal, como en el caso de Google. Google promueve IPv6 porque no quiere que haya NATs entre sus usuarios y su contenido ya que eso ofrecería a los ISP la posibilidad de hacer algo con ese tráfico. Significa que le interesa tener Ipv6 para evitar estas dificultades.
Hay otros ISP donde están los usuarios finales, lo que solemos llamar “eyeball ISPs”. Estos ISP despliegan IPv6 por razones técnicas. Un claro ejemplo es Comcast en Estados Unidos. Ellos simplemente dijeron “Bien, vamos a desplegar nuevos equipos en las instalaciones de los clientes; técnicamente, es mucho más fácil para nosotros desplegar esto con IPv6; vamos a proporcionar una dirección IPv4 encima de IPv6”. Este es un despliegue enorme que se decidió exclusivamente por razones técnicas.
También hay otras razones de negocios. Por ejemplo, tengo dos ISP en mi casa en los Países Bajos: uno es la empresa de cable que todavía no tiene IPv6, el otro es un ISP llamado “XS4ALL” que para preservar su imagen de líder tecnológico dijo “OK, tenemos que tener IPv6” y así se convirtió en el primer ISP con un gran despliegue de IPv6 en el país. Así que hay varias razones para que los ISP hagan esto y, en mi experiencia, es muy poco lo que los registros regionales como LACNIC pueden hacer al respecto. Lo que sí podemos hacer es construir capacidad, podemos decirles cómo funciona, podemos organizar roadshows y decir “así es como se hace”, podemos hacer que sea muy fácil obtener espacio de direcciones IPv6. Pero más allá de esto se convierte en una decisión de negocios de la empresa —podemos facilitarles las cosas, pero no podemos tomar las decisiones por ellos—.
P: ¿Qué tiene que pasar para que el CEO de la compañía decida moverse a IPv6?
R: Como dije, es una decisión muy individual. Comcast lo hizo porque para ellos era técnicamente más fácil y más barato hacerlo de esta manera. Ellos tenían una visión a largo plazo y básicamente dijeron “invertir ahora será mejor para nosotros desde el punto de vista de los costos”. En el caso de XS4ALL, ellos quieren tener ante sus clientes una imagen que diga “somos el ISP líder; si eres un nerd, si sabes de tecnología, debes elegirnos a nosotros, no a la competencia”. También veo que hay dos factores de presión. Uno es la escasez de direcciones IPv4. La escasez de direcciones IPv4 pareciera ser el único factor importante, porque todavía no veo demasiados beneficios para los usuarios finales, que no ven ninguna diferencia ya sea que usen IPv4 o IPv6. Lo que mueve todo es la escasez de direcciones IPv4.
Hay dos formas de ver esto. Como en el ejemplo de Comcast, una es que en algún momento quienes toman las decisiones en la empresa verán que no ya no es posible crecer con IPv4. Podrán negociar o comprar algunas direcciones IPv4 de un broker, pero esto no les permitirá lograr la escala que desean, por lo que tomarán una decisión y dirán “OK, es hora de hacer de tripas corazón y pasar a IPv6”. Esta es una visión más estratégica, la otra es una visión puramente táctica —el gerente simplemente verá que obtener más direcciones IPv4 es demasiado caro y adoptará la solución más barata—. Desde luego, yo siempre defendería la visión estratégica, pero ya sabes cómo funcionan las empresas: a veces su horizonte es de tres meses… así es la vida.
P: ¿Qué cree que pasa cuando un registro regional alcanza un estadio donde solo tiene IPv6 para otorgar y administrar?
R: Primero, esto no ocurrirá por mucho tiempo. Todos los registros regionales tienen políticas que permiten asignar algunas direcciones IPv4 a los miembros nuevos, de modo que durarán mucho tiempo. Segundo, habrá un cambio de paradigma, un cambio en cómo los registros regionales se ven a sí mismos. Veo que esto ya está sucediendo en RIPE, veo que está sucediendo en APNIC y ciertamente veo que está sucediendo en ARIN. Antes, nuestra principal preocupación era que las direcciones IPv4 se distribuyeran de forma justa. Sabíamos que se trataba de un recurso limitado, por lo que debíamos hacer políticas que aseguraran una distribución justa y sin desperdicios. Lo admitiéramos o no, ese era nuestro enfoque principal. Ahora el cambio tiende hacia tener un registro de buena calidad. En lugar de pensar en la distribución, se priorizará el hecho de tener un registro de alta calidad. Hace varios años que vemos esto en RIPE NCC; además, la comunidad también ha desarrollado políticas para reforzarlo, para mejorar la responsabilidad de los miembros para tener información correcta en el registro. Desde hace unos diez años hacemos lo que solíamos llamar auditorías. Cuando sospechamos que la información no es correcta, buscamos al miembro y le preguntamos “¿Puede confirmar que esto es correcto? ¿Puede actualizar la información?” Hace unos cuatro años cambiamos el nombre a uno más políticamente correcto, creo que ahora se denomina “verificación de registro asistida” (assisted registry check). La palabra “auditoría” daba un poco la impresión de que estábamos “auditando” a nuestros miembros, cuando esa no era la intención. Nuestra intención es ayudar a que los miembros tengan la información de registro correcta. Es un proceso estructurado según el cual el registro toma mayor iniciativa cuanto menos receptivo es el miembro. Significa que si el miembro reacciona rápidamente y hace lo que debe hacer es muy fácil, pero si no podemos llegar al miembro se hace muy difícil.
P: Para eso se precisa un compromiso de los miembros del registro, que den información fiable.
R: Todo está en las políticas. Las políticas dicen que deben ingresar la información correcta y que si no lo hacen iremos tras ellos. En un caso extremo, significa que vamos a cerrarlos y a recuperar los recursos. Pero eso sería el caso más extremo, por lo general no se llega a eso. De memoria no recuerdo ninguna estadística sobre el tema, pero la información es mayormente pública. En el sitio web de RIPE NCC, bajo “assisted registry check” hay informes sobre cuántas de estas comprobaciones hacemos y todo lo demás. Me preguntó cuál es el futuro de los registros regionales y creo que va por ese lado: asegurarnos de saber quién usa cuál espacio de direcciones y tener un buen registro para que lo usen nuestros propios miembros con fines de coordinación y también otros interesados, por ejemplo, los organismos de seguridad. En mi opinión personal, un registro regional no tiene razón de ser si no tiene un buen registro.
P: Para tener un mejor registro en un futuro, además de hacer auditorias, ¿qué otras cosas crees que se pueden hacer?
R: Eso depende de lo que la comunidad desee. RIPE NCC no comenzó como un registro regional sino que comenzamos como una secretaría para RIPE. RIPE precisaba hacer cosas que ya no se podían hacer con voluntarios, por ejemplo, completar preguntas cuando Internet era nueva o gestionar una base de datos para su coordinación operativa. Entonces RIPE dijo “Si no podemos hacerlo con voluntarios, tendremos que tener una secretaría”. La misión de esta secretaría era hacer todo aquello que los ISP (que en aquel momento se llamaban “organizaciones de Internet”) tenían que organizar entre sí en un lugar neutral y competente. Creo que esta misión todavía es válida, al menos para RIPE NCC. Hacemos cualquier tarea que nuestros miembros —mayormente ISPs y otros grandes usuarios de Internet en nuestra región de servicio— deseen organizar conjuntamente.
Por supuesto, ahora nuestra mayor actividad es el registro, pero también hacemos otras cosas: creamos capacidad, promovemos IPv6, nos ocupamos de los intereses de nuestros miembros en los procesos de gobernanza de Internet y defendemos el modelo de autorregulación ante los gobiernos. En el caso del NCC, también es importante la investigación y la ciencia, aunque no tanto la ciencia en el sentido “puro” sino la recolección de información sobre Internet. Tenemos RIPE Atlas, un proyecto que realiza mediciones activas y del que me gustaría ver un despliegue mucho mayor en América Latina y el Caribe. Es la red de este tipo más grande que existe y es muy útil para encontrar información para la elaboración de políticas. También tenemos RIPE Stat, que es básicamente una gran colección de información que incluye todo lo que alguna vez haya querido saber sobre una dirección IP o un número de sistema autónomo. Esto es algo que nuestra comunidad reconoce como una actividad común y está bastante feliz de que lo hagamos y lo financiemos nosotros.
Por supuesto, también organizamos las reuniones de RIPE, algo que la comunidad valora porque les da la oportunidad de reunirse para hablar sobre diferentes temas.
P: ¿Qué nuevas tecnologías pueden surgir para eventualmente suplantar a Internet? Si surge algo nuevo, ¿va a existir una Internet uno y una Internet dos, por decirlo de alguna forma?
R: Si tuviera que establecer prioridades para la próxima versión de Internet, definitivamente escogería la seguridad y la privacidad. La arquitectura de Internet fue diseñada por investigadores que querían trabajar en un entorno colaborativo, no antagónico, en un momento en que el tema de la información no era en realidad un problema. Por lo tanto, si volviésemos a diseñar la red, tendríamos que incluir más privacidad y más seguridad —privacidad en primera instancia, seguridad en segunda. Creo que estos dos temas serían los impulsores, considerando que Internet está presente en todos los aspectos de la sociedad, la economía y todo demás. Continúa siendo la mejor opción disponible para una infraestructura resiliente, dado que es distribuida y hay muy poca centralización (de hecho, esta centralización está disminuyendo). En este sentido es robusta porque no hay un único elemento central que se pueda atacar y con ello interrumpir toda la red. Incluso así, es bastante frágil. Vemos muchos actores maliciosos y malintencionados y es por ello que necesitamos una nueva arquitectura que haga que sus acciones sean cada vez menos probables.
No estoy seguro de cómo ni cuándo ocurrirá. Existen muchos conceptos académicos pero en este momento no creo que ninguno llegue a un despliegue completo. Aunque me gustaría llevarme una sorpresa. En definitiva, creo que esto sería lo más importante para la próxima Internet. En cuanto a qué pasará con la Internet actual, el tema de moda es la Internet de las Cosas. Sucede que soy un nerd de la electrónica y mi casa está bastante automatizada. Pero las “cosas” de la casa no están conectadas directamente a Internet. Todas estas cosas son muy malas desde el punto de vista de la seguridad. Cualquiera con un nivel de conocimiento similar al mío podría estacionar su auto frente a mi casa y encender y apagar las luces, cambiar muchas cosas apenas con la ayuda de una pequeña radio si así lo quisiera Por eso las cerraduras de nuestras puertas no están automatizadas. Una vez que todo esto esté conectado en red, surgirán problemas nuevos e interesantes. Pero en realidad no comparto la visión que plantea que cada bombilla de luz será equivalente a un host de Internet.
P: ¿Qué puede decirnos sobre su experiencia durante su visita a LACNIC?
R: Realmente disfruté mi visita, toda la casa tiene buena energía. Sentí una sensación similar a lo que sentía en RIPE NCC diez años atrás. Ahora somos más de cien personas y esto evidentemente ha cambiado la naturaleza del lugar. Pero aquí todos se conocen, es un ambiente relajado. Las relaciones personales son importantes y la vibra general es muy buena. Realmente lo disfruté.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.