Expired DNSSEC signatures disrupt 26 African TLDs

• Un fallo técnico en uno de los servidores de nombres autoritativos de Afrinic provocó la caducidad de las firmas DNSSEC, interrumpiendo 26 TLD africanos, incluido el.mg de Madagascar. El problema se informó por primera vez el 8 de noviembre, aunque comenzó el 29 de octubre de 2024.
• Las sondas de RIPE Atlas revelaron que solo una instancia del servidor anycast, identificada como s01-ns2.pkl, estaba sirviendo datos obsoletos. Afrinic desconectó el servidor para resolver el problema, lo que pone de relieve los desafíos de la monitorización de sistemas anycast.

¿Qué ocurrió?

A finales de octubre de 2024, un importante problema técnico interrumpió 26 dominios de nivel superior (TLD) africanos. Uno de sus servidores de nombres autoritativos, gestionado por Afrinic, sirvió datos obsoletos, con las firmas DNSSEC (Extensiones de seguridad del sistema de nombres de dominio) marcadas como caducadas. Este problema se detectó por primera vez el 8 de noviembre, aunque se originó el 29 de octubre, lo que provocó experiencias de resolución DNS inconsistentes para los usuarios del TLD.mg (Madagascar). Ver también: El registro de miembros desaparecido de AfriNIC.

Lea también: Fallo del Tribunal Supremo sobre AFRINIC: Nuevos miembros sin derechos, elecciones para junio de 2025
Lea también: Explorando la gestión global del espectro en WRS-24

Un análisis más profundo reveló que no todos los servidores se vieron afectados. En cambio, una instancia específica del servidor de nombres anycast ns-mg.afrinic.net estaba ejecutando datos obsoletos. Las mediciones de las sondas de RIPE Atlas mostraron una clara discrepancia: mientras que la mayoría de los servidores informaban datos actualizados, una minoría seguía dependiendo de información obsoleta. Esta instancia del servidor, identificada por el NSID s01-ns2.pkl, contribuyó a retrasos en la propagación de actualizaciones en múltiples TLD. Ver también: Desaparición del registro de miembros de AfriNIC.

Afrinic finalmente resolvió el problema al desconectar la instancia problemática. Sin embargo, el problema planteó preguntas sobre la monitorización y la resolución de problemas en sistemas distribuidos, especialmente aquellos críticos para la infraestructura de Internet. Ver también: Alejandro Fernandez.

Importancia

Este incidente pone de relieve una vulnerabilidad clave en la infraestructura de Internet: los servidores pueden parecer operativos mientras entregan datos obsoletos o incorrectos. Para los dominios que utilizan DNSSEC, las firmas caducadas exponen a los usuarios a riesgos potenciales, como no poder resolver consultas válidas o encontrar respuestas de datos no válidas. Ver también: Aldo Garcia.

El servidor afectado alojaba no solo.mg, sino también otros 25 TLD africanos, lo que amplifica la escala del problema. Aunque la rápida acción de Afrinic mitigó daños mayores, el caso subraya la necesidad de sistemas de monitorización sólidos que garanticen tanto el tiempo de actividad como la precisión de los datos. Ver también: Alcymer Vieira.

Además, esta situación demuestra los desafíos del anycast, una técnica ampliamente utilizada que aumenta la resiliencia del DNS al enrutar las solicitudes a instancias distribuidas geográficamente. Si bien el anycast fortalece la robustez del DNS, también complica la detección y depuración de problemas, como se evidenció aquí. Herramientas como RIPE Atlas resultan invaluables para identificar tales anomalías, pero como muestra este caso, las comprobaciones proactivas de la frescura de los datos siguen siendo esenciales para garantizar operaciones DNS fluidas. Ver también: Alcides Cremonezi.