Registro y validación del contacto de abuso

LAC-2018-5-v2 LAC-2018-5-v3 Vs
Referencias:
Nuevo
Eliminado
Modificado
Autores

Nombre: Jordi Palet Martinez
Email: jordi.palet@consulintel.es
Organización: The IPv6 Company

Nombre: Jordi Palet Martinez
Email: jordi.palet@consulintel.es
Organización: The IPv6 Company

Resumen

La política actual (ASN) no es clara en cuanto a la obligación de registrar un contacto de abuse (abuse-c) ni al formato
específico y si aplica a otros casos de registros en el whois.
Como consecuencia, puede haber LIRs que no tienen dicho contacto registrado para sus recursos, o incluso hay casos de LI
Rs que utilizan un buzón de correo inexistente o que no es procesado.
Ello origina en la práctica, que dicho contacto sea ineficaz para poder reportar abusos y en general problemas de seguri
dad y costes para las víctimas.
Esta propuesta pretende resolver el problema y garantizar la existencia de un contacto abuse-c correcto y el proceso par
a su uso.

La política actual (ASN) no es clara en cuanto a la obligación de registrar un contacto de abuse (abuse-c) ni al formato
específico y si aplica a otros casos de registros en el whois.
Como consecuencia, puede haber receptores de recursos de LACNIC que no tienen dicho contacto registrado para sus recurso
s, o incluso hay casos de LIRs/ISPs, usuarios finales, u otros, que utilizan un buzón de correo inexistente o que no es
procesado.
Ello origina en la práctica, que dicho contacto sea ineficaz para poder reportar abusos y en general problemas de seguri
dad y costes para las víctimas.
Esta propuesta pretende resolver el problema y garantizar la existencia de un contacto abuse-c correcto y el proceso par
a su uso.

Justificación(Describa el problema que pretende solucionar)

La comunidad de Internet se basa en la colaboración, pero en muchas ocasiones esto no es suficiente y hace falta que tod
os podamos ser capaces de contactar con aquellos LIRs que pueden tener un problema en la red y no conocerlo.
Esta propuesta crea una nueva sección en el manual de políticas, para permitir resolver este problema, por medio de una
sencilla verificación periódica y establece las reglas básicas para la misma y evitar así costes innecesarios a terceras
partes en su función de contactar con los responsables de resolver los abusos de una determinada red.
La propuesta garantiza que el coste de procesar los abusos recaiga sobre el LIR cuyo cliente está provocando el abuso (y
del cual recibe compensación económica por el servicio), en lugar de recaer sobre la víctima, tal y como ocurriría si h
ubiera que acudir a la vía judicial, evitando por lo tanto el agravamiento económico (abogados, procuradores, etc.) y en
tiempo, para ambas partes.
Para ello, el atribute abuse-c, que hasta ahora sólo estaba referenciado para el objeto "aut-num", se hace obligatorio e
n los objetos "inetnum" e "inetnum6", y cualesquiera puedan surgir en el futuro. Este atributo es un contacto de abuso,
que contendrá como mínimo el atributo "abuse-mailbox".

La comunidad de Internet se basa en la colaboración, pero en muchas ocasiones esto no es suficiente y hace falta que tod
os podamos ser capaces de contactar con aquellos LIRs u otros receptores de recursos de LACNIC que pueden tener un probl
ema en la red y no conocerlo.
Esta propuesta crea una nueva sección en el manual de políticas, para permitir resolver este problema, por medio de una
sencilla verificación periódica y establece las reglas básicas para la misma y evitar así costes innecesarios a terceras
partes en su función de contactar con los responsables de resolver los abusos de una determinada red.
La propuesta garantiza que el coste de procesar los abusos recaiga sobre el LIR cuyo cliente está provocando el abuso (y
del cual recibe compensación económica por el servicio), en lugar de recaer sobre la víctima, tal y como ocurriría si h
ubiera que acudir a la vía judicial, evitando por lo tanto el agravamiento económico (abogados, procuradores, etc.) y en
tiempo, para ambas partes.
Para ello, el atribute abuse-c, que hasta ahora sólo estaba referenciado para el objeto “aut-num”, se hace obligatorio e
n los objetos “inetnum” (tanto para IPv4 como para IPv6), y cualesquiera puedan surgir en el futuro. Este atributo es un
contacto de abuso, que contendrá como mínimo el atributo “abuse-mailbox”.

Texto actual

Texto actual: No existe
Nuevo texto:
12. Registro y Validación de "abuse-c" y "abuse-mailbox"
12.1. Descripción del "abuse-c" y "abuse-mailbox"
Todos los recursos distribuidos por LACNIC deben incluir, obligatoriamente, en la entrada de WHOIS correspondiente, el a
tributo de contacto "abuse-c" (contacto de abuso) como mínimo con un único email (abuse-mailbox) válido, monitorizado y
adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y sim
ilares.
El atributo "abuse-mailbox" debe estar disponible sin restricciones vía whois, APIs y futuras técnicas.
Teniendo en cuenta la naturaleza jerárquica de los objetos de direcciones IP, los objetos heredados de aquellos distribu
idos directamente por LACNIC, pueden estar cubiertos por los objetos de nivel superior o tener su propio atributo "abuse
-c".
Siguiendo prácticas habituales, otros atributos "e-mail" pueden ser incluidos para otros propósitos.
12.2. Características del "abuse-mailbox"
Los emails enviados a "abuse-mailbox" deben requerir intervención manual en algún momento, por parte del destinatario, y
no pueden estar filtrados, ya que ello podría impedir, que en algunos casos, el envío de un reporte de abuso, por ejemp
lo por spam, al incluir el propio mensaje de spam o URLs o contenidos habitualmente clasificados como spam, evite su rec
epción.
El buzón "abuse-mailbox" podrá devolver inicialmente, una respuesta automática, por ejemplo, asignando un número de tick
et, aplicando procedimientos de clasificación, pidiendo más información, etc. Sin embargo, no podrá requerir el uso de u
n formulario, ya que ello implicaría que cada empresa que necesite reportar abusos, generalmente de forma automatizada,
se vea obligada a desarrollar una interfaz específica para cada caso de abuso, lo cual es inviable e ilógico, ya que har
ía recaer el coste del procesado de los abusos en el que envía la reclamación y por tanto es víctima del abuso, en lugar
de ser costeada por aquel cuyo cliente (y de quién recibe ingresos), causa el abuso.
A título informativo, cabe mencionar que, lo razonable, es que quien reporta el abuso, lo haga desde el primer momento y
en ese primer reporte, enviando los logs, o copia del spam (adjuntando ejemplo del email de spam o sus cabeceras comple
tas) o similares, que demuestren el abuso. Igualmente, es razonable esperar que el email inicial de auto-respuesta indiq
ue que, si no se han enviado dichos registros, no será atendido, dando así la oportunidad a repetir el envío con las pru
ebas procedentes. Esto permite reportes automatizados, por ejemplo, mediante fail2ban, SpamCop u otros, con mínimo coste
para ambas partes.
12.3. Objetivos de la validación del "abuse-c"/"abuse-mailbox"
El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos:
1) Proceso simple que garantice su funcionalidad y permita a los "helpdesk" que atienden los reportes de abuso, verif
icar que las peticiones de validación efectivamente provienen de LACNIC y no de terceras fuentes (que pudieran implicar
riesgos de seguridad), evitando, por ejemplo, una única URL "directa" para la validación.
2) Impedir un proceso automatizado.
3) Confirmar que quien valida asegura conocer el procedimiento, la política, que monitoriza regularmente el "abuse-ma
ilbox", se toman medidas y se responde al reporte de abuso.
4) Plazo de validación no superior a 2 días hábiles.
5) Si no se valida correctamente, escalado con el LIR y un nuevo plazo, no superior a 3 días hábiles.
(a título de ejemplo se propone un procedimiento detallado en "información adicional" de esta propuesta de política)
12.4. Validación del "abuse-c"/"abuse-mailbox"
LACNIC validará el cumplimiento de los puntos anteriores, tanto en el momento en que se crean o modifican los atributos
"abuse-c" y/o "abuse-mailbox", periódicamente, no menos de una vez cada tres meses y en cualquier momento que LACNIC con
sidere oportuno.
A criterio de LACNIC, de forma generalizada o en casos puntuales (por ejemplo para la confirmación en casos de escalado
según el 12.5), LACNIC podrá utilizar dominios diferentes a lacnic.*, e incluso modificar el asunto y cuerpo del mensaje
, para realizar dichas validaciones.
El incumplimiento, implicará un seguimiento más exhaustivo, de conformidad con las políticas/procedimientos pertinentes
de LACNIC y especialmente "7.1. Recuperación de recursos".
12.5. Mecanismo de escalado a LACNIC
Con el objetivo de evitar engaño (por ejemplo, "abuse-mailbox" que solo responden a emails de LACNIC, a determinado asun
to o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no
atención de los casos de abuso) y, por lo tanto, para garantizar la calidad de los servicios en la región con los recur
sos distribuidos por LACNIC, se dispondrá de un buzón (por ejemplo, "escalado-abusos@lacnic.net"), que permita escalar d
ichas situaciones, permitiendo así la re-validación (según el punto 12.4 anterior) e incluso la intermediación de LACNIC
y en su caso, la aplicación de las políticas/procedimientos pertinentes y especialmente "7.1. Recuperación de recursos"
.

Texto actual: No existe
Nuevo texto:
Nota (no debe ser incluida en el manual de políticas): La sección actual “12. Apéndices” pasa ser “A. Apéndices”, al fin
al del manual de políticas, y se renumera en todo el manual de políticas, todas las referencias a ella. De este modo, nu
evas secciones del manual, no requieren futuras renumeraciones, según el manual vaya “creciendo”. El texto de esta propu
esta pasa por lo tanto a ser la sección 12.
12. Registro y Validación de “abuse-c” y “abuse-mailbox”
12.1. Descripción del “abuse-c” y “abuse-mailbox”
Todos los recursos distribuidos por LACNIC deben incluir, obligatoriamente, en la entrada de WHOIS correspondiente, el a
tributo de contacto “abuse-c” (contacto de abuso) como mínimo con un único email (abuse-mailbox) válido, monitorizado y
adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y sim
ilares.
El atributo “abuse-mailbox” debe estar disponible sin restricciones vía whois, APIs y futuras técnicas.
Teniendo en cuenta la naturaleza jerárquica de los objetos de direcciones IP, los objetos heredados de aquellos distribu
idos directamente por LACNIC, pueden estar cubiertos por los objetos de nivel superior o tener su propio atributo “abuse
-c”.
Siguiendo prácticas habituales, otros atributos “e-mail” pueden ser incluidos para otros propósitos.
12.2. Características del “abuse-mailbox”
Los emails enviados a ”abuse-mailbox” deben requerir intervención manual en algún momento, por parte del destinatario, y
no pueden estar filtrados, ya que ello podría impedir, que en algunos casos, el envío de un reporte de abuso, por ejemp
lo por spam, al incluir el propio mensaje de spam o URLs o contenidos habitualmente clasificados como spam, evite su rec
epción.
El buzón “abuse-mailbox” podrá devolver inicialmente, una respuesta automática, por ejemplo, asignando un número de tick
et, aplicando procedimientos de clasificación, pidiendo más información, etc. Sin embargo, no podrá requerir el uso de u
n formulario, ya que ello implicaría que cada empresa que necesite reportar abusos, generalmente de forma automatizada,
se vea obligada a desarrollar una interfaz específica para cada caso de abuso, lo cual es inviable e ilógico, ya que har
ía recaer el coste del procesado de los abusos en el que envía la reclamación y por tanto es víctima del abuso, en lugar
de ser costeada por aquel cuyo cliente (y de quién recibe ingresos), causa el abuso.
A título informativo, cabe mencionar que, lo razonable, es que quien reporta el abuso, lo haga desde el primer momento y
en ese primer reporte, enviando los logs, o copia del spam (adjuntando ejemplo del email de spam o sus cabeceras comple
tas) o similares, que demuestren el abuso. Igualmente, es razonable esperar que el email inicial de auto-respuesta indiq
ue que, si no se han enviado dichos registros, no será atendido, dando así la oportunidad a repetir el envío con las pru
ebas procedentes. Esto permite reportes automatizados, por ejemplo, mediante fail2ban, SpamCop u otros, con mínimo coste
para ambas partes.
12.3. Objetivos de la validación del “abuse-c”/“abuse-mailbox”
El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos:
1) Proceso simple que garantice su funcionalidad y permita a los “helpdesk” que atienden los reportes de abuso, verif
icar que las peticiones de validación efectivamente provienen de LACNIC y no de terceras fuentes (que pudieran implicar
riesgos de seguridad), evitando, por ejemplo, una única URL “directa” para la validación.
2) Impedir un proceso exclusivamente automatizado.
3) Confirmar que quien valida asegura conocer el procedimiento, la política, que monitoriza regularmente el “abuse-ma
ilbox”, se toman medidas y se responde al reporte de abuso.
4) Plazo de validación “inicial” no superior a 15 días.
5) Si no se valida correctamente, “escalado” con el receptor del recurso (LIR, usuario final, etc.) y un nuevo plazo,
no superior a 15 días.
Los plazos de validación “inicial” y “escalado” podrán ser modificados por LACNIC, si lo considera oportuno, informando
a la comunidad de los motivos. Por ejemplo, podrían acortarse una vez que hayan sido validados de forma inicial un alto
porcentaje de los contactos, de forma que se incrementa la calidad de los contactos y se reduce el tiempo de respuesta a
los casos de abuso.
(a título de ejemplo se propone un procedimiento detallado en “información adicional” de esta propuesta de política)
12.4. Validación del “abuse-c”/“abuse-mailbox”
LACNIC validará el cumplimiento de los puntos anteriores, tanto en el momento en que se crean o modifican los atributos
“abuse-c” y/o “abuse-mailbox”, periódicamente, no menos de dos veces al año y en cualquier momento que LACNIC considere
oportuno.
La frecuencia periódica de validación podría ser modificada por LACNIC, si lo considera oportuno, informando a la comuni
dad de los motivos. Por ejemplo, podría realizarse una única validación el primer año, para facilitar el tiempo de adapt
ación a la política, y posteriormente, de forma progresiva, incrementar el número de validaciones anuales, llegando a se
r incluso trimestrales o mensuales, con el objetivo de incrementar la calidad de los contactos.
A criterio de LACNIC, de forma generalizada o en casos puntuales (por ejemplo para la confirmación en casos de escalado
según el 12.5), LACNIC podrá utilizar dominios diferentes a lacnic.*, e incluso modificar el asunto y cuerpo del mensaje
, para realizar dichas validaciones.
El incumplimiento por parte de cualquier organización, implicará inicialmente el bloqueo de “milacnic” para todos los re
cursos asociados con dicha organización, excepto para la actualización de los contactos abuse-c/abuse-mailbox, de tal fo
rma que puedan ser re-validados para permitir el desbloqueo de “milacnic”.
LACNIC realizará un seguimiento más exhaustivo, y en el caso en que en la siguiente validación automática sigue confirmá
ndose el incumplimiento, actuará de conformidad con las políticas y procedimientos pertinentes de LACNIC y especialmente
“7.1. Recuperación de recursos”.
12.5. Mecanismo de escalado a LACNIC
Con el objetivo de evitar engaño (por ejemplo, “abuse-mailbox” que solo responden a emails de LACNIC, a determinado asun
to o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no
atención de los casos de abuso) y, por lo tanto, para garantizar la calidad de los servicios en la región con los recur
sos distribuidos por LACNIC, se dispondrá de un buzón (por ejemplo, “escalado-abusos@lacnic.net”), que permita escalar d
ichas situaciones, permitiendo así a LACNIC activare una re-validación, según el punto 12.4 anterior, e incluso la inter
mediación de LACNIC y en su caso, la aplicación de las políticas/procedimientos pertinentes y especialmente “7.1. Recupe
ración de recursos”.

Texto nuevo

Texto actual: No existe
Nuevo texto:
12. Registro y Validación de "abuse-c" y "abuse-mailbox"
12.1. Descripción del "abuse-c" y "abuse-mailbox"
Todos los recursos distribuidos por LACNIC deben incluir, obligatoriamente, en la entrada de WHOIS correspondiente, el a
tributo de contacto "abuse-c" (contacto de abuso) como mínimo con un único email (abuse-mailbox) válido, monitorizado y
adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y sim
ilares.
El atributo "abuse-mailbox" debe estar disponible sin restricciones vía whois, APIs y futuras técnicas.
Teniendo en cuenta la naturaleza jerárquica de los objetos de direcciones IP, los objetos heredados de aquellos distribu
idos directamente por LACNIC, pueden estar cubiertos por los objetos de nivel superior o tener su propio atributo "abuse
-c".
Siguiendo prácticas habituales, otros atributos "e-mail" pueden ser incluidos para otros propósitos.
12.2. Características del "abuse-mailbox"
Los emails enviados a "abuse-mailbox" deben requerir intervención manual en algún momento, por parte del destinatario, y
no pueden estar filtrados, ya que ello podría impedir, que en algunos casos, el envío de un reporte de abuso, por ejemp
lo por spam, al incluir el propio mensaje de spam o URLs o contenidos habitualmente clasificados como spam, evite su rec
epción.
El buzón "abuse-mailbox" podrá devolver inicialmente, una respuesta automática, por ejemplo, asignando un número de tick
et, aplicando procedimientos de clasificación, pidiendo más información, etc. Sin embargo, no podrá requerir el uso de u
n formulario, ya que ello implicaría que cada empresa que necesite reportar abusos, generalmente de forma automatizada,
se vea obligada a desarrollar una interfaz específica para cada caso de abuso, lo cual es inviable e ilógico, ya que har
ía recaer el coste del procesado de los abusos en el que envía la reclamación y por tanto es víctima del abuso, en lugar
de ser costeada por aquel cuyo cliente (y de quién recibe ingresos), causa el abuso.
A título informativo, cabe mencionar que, lo razonable, es que quien reporta el abuso, lo haga desde el primer momento y
en ese primer reporte, enviando los logs, o copia del spam (adjuntando ejemplo del email de spam o sus cabeceras comple
tas) o similares, que demuestren el abuso. Igualmente, es razonable esperar que el email inicial de auto-respuesta indiq
ue que, si no se han enviado dichos registros, no será atendido, dando así la oportunidad a repetir el envío con las pru
ebas procedentes. Esto permite reportes automatizados, por ejemplo, mediante fail2ban, SpamCop u otros, con mínimo coste
para ambas partes.
12.3. Objetivos de la validación del "abuse-c"/"abuse-mailbox"
El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos:
1) Proceso simple que garantice su funcionalidad y permita a los "helpdesk" que atienden los reportes de abuso, verif
icar que las peticiones de validación efectivamente provienen de LACNIC y no de terceras fuentes (que pudieran implicar
riesgos de seguridad), evitando, por ejemplo, una única URL "directa" para la validación.
2) Impedir un proceso automatizado.
3) Confirmar que quien valida asegura conocer el procedimiento, la política, que monitoriza regularmente el "abuse-ma
ilbox", se toman medidas y se responde al reporte de abuso.
4) Plazo de validación no superior a 2 días hábiles.
5) Si no se valida correctamente, escalado con el LIR y un nuevo plazo, no superior a 3 días hábiles.
(a título de ejemplo se propone un procedimiento detallado en "información adicional" de esta propuesta de política)
12.4. Validación del "abuse-c"/"abuse-mailbox"
LACNIC validará el cumplimiento de los puntos anteriores, tanto en el momento en que se crean o modifican los atributos
"abuse-c" y/o "abuse-mailbox", periódicamente, no menos de una vez cada tres meses y en cualquier momento que LACNIC con
sidere oportuno.
A criterio de LACNIC, de forma generalizada o en casos puntuales (por ejemplo para la confirmación en casos de escalado
según el 12.5), LACNIC podrá utilizar dominios diferentes a lacnic.*, e incluso modificar el asunto y cuerpo del mensaje
, para realizar dichas validaciones.
El incumplimiento, implicará un seguimiento más exhaustivo, de conformidad con las políticas/procedimientos pertinentes
de LACNIC y especialmente "7.1. Recuperación de recursos".
12.5. Mecanismo de escalado a LACNIC
Con el objetivo de evitar engaño (por ejemplo, "abuse-mailbox" que solo responden a emails de LACNIC, a determinado asun
to o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no
atención de los casos de abuso) y, por lo tanto, para garantizar la calidad de los servicios en la región con los recur
sos distribuidos por LACNIC, se dispondrá de un buzón (por ejemplo, "escalado-abusos@lacnic.net"), que permita escalar d
ichas situaciones, permitiendo así la re-validación (según el punto 12.4 anterior) e incluso la intermediación de LACNIC
y en su caso, la aplicación de las políticas/procedimientos pertinentes y especialmente "7.1. Recuperación de recursos"
.

Texto actual: No existe
Nuevo texto:
Nota (no debe ser incluida en el manual de políticas): La sección actual “12. Apéndices” pasa ser “A. Apéndices”, al fin
al del manual de políticas, y se renumera en todo el manual de políticas, todas las referencias a ella. De este modo, nu
evas secciones del manual, no requieren futuras renumeraciones, según el manual vaya “creciendo”. El texto de esta propu
esta pasa por lo tanto a ser la sección 12.
12. Registro y Validación de “abuse-c” y “abuse-mailbox”
12.1. Descripción del “abuse-c” y “abuse-mailbox”
Todos los recursos distribuidos por LACNIC deben incluir, obligatoriamente, en la entrada de WHOIS correspondiente, el a
tributo de contacto “abuse-c” (contacto de abuso) como mínimo con un único email (abuse-mailbox) válido, monitorizado y
adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y sim
ilares.
El atributo “abuse-mailbox” debe estar disponible sin restricciones vía whois, APIs y futuras técnicas.
Teniendo en cuenta la naturaleza jerárquica de los objetos de direcciones IP, los objetos heredados de aquellos distribu
idos directamente por LACNIC, pueden estar cubiertos por los objetos de nivel superior o tener su propio atributo “abuse
-c”.
Siguiendo prácticas habituales, otros atributos “e-mail” pueden ser incluidos para otros propósitos.
12.2. Características del “abuse-mailbox”
Los emails enviados a ”abuse-mailbox” deben requerir intervención manual en algún momento, por parte del destinatario, y
no pueden estar filtrados, ya que ello podría impedir, que en algunos casos, el envío de un reporte de abuso, por ejemp
lo por spam, al incluir el propio mensaje de spam o URLs o contenidos habitualmente clasificados como spam, evite su rec
epción.
El buzón “abuse-mailbox” podrá devolver inicialmente, una respuesta automática, por ejemplo, asignando un número de tick
et, aplicando procedimientos de clasificación, pidiendo más información, etc. Sin embargo, no podrá requerir el uso de u
n formulario, ya que ello implicaría que cada empresa que necesite reportar abusos, generalmente de forma automatizada,
se vea obligada a desarrollar una interfaz específica para cada caso de abuso, lo cual es inviable e ilógico, ya que har
ía recaer el coste del procesado de los abusos en el que envía la reclamación y por tanto es víctima del abuso, en lugar
de ser costeada por aquel cuyo cliente (y de quién recibe ingresos), causa el abuso.
A título informativo, cabe mencionar que, lo razonable, es que quien reporta el abuso, lo haga desde el primer momento y
en ese primer reporte, enviando los logs, o copia del spam (adjuntando ejemplo del email de spam o sus cabeceras comple
tas) o similares, que demuestren el abuso. Igualmente, es razonable esperar que el email inicial de auto-respuesta indiq
ue que, si no se han enviado dichos registros, no será atendido, dando así la oportunidad a repetir el envío con las pru
ebas procedentes. Esto permite reportes automatizados, por ejemplo, mediante fail2ban, SpamCop u otros, con mínimo coste
para ambas partes.
12.3. Objetivos de la validación del “abuse-c”/“abuse-mailbox”
El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos:
1) Proceso simple que garantice su funcionalidad y permita a los “helpdesk” que atienden los reportes de abuso, verif
icar que las peticiones de validación efectivamente provienen de LACNIC y no de terceras fuentes (que pudieran implicar
riesgos de seguridad), evitando, por ejemplo, una única URL “directa” para la validación.
2) Impedir un proceso exclusivamente automatizado.
3) Confirmar que quien valida asegura conocer el procedimiento, la política, que monitoriza regularmente el “abuse-ma
ilbox”, se toman medidas y se responde al reporte de abuso.
4) Plazo de validación “inicial” no superior a 15 días.
5) Si no se valida correctamente, “escalado” con el receptor del recurso (LIR, usuario final, etc.) y un nuevo plazo,
no superior a 15 días.
Los plazos de validación “inicial” y “escalado” podrán ser modificados por LACNIC, si lo considera oportuno, informando
a la comunidad de los motivos. Por ejemplo, podrían acortarse una vez que hayan sido validados de forma inicial un alto
porcentaje de los contactos, de forma que se incrementa la calidad de los contactos y se reduce el tiempo de respuesta a
los casos de abuso.
(a título de ejemplo se propone un procedimiento detallado en “información adicional” de esta propuesta de política)
12.4. Validación del “abuse-c”/“abuse-mailbox”
LACNIC validará el cumplimiento de los puntos anteriores, tanto en el momento en que se crean o modifican los atributos
“abuse-c” y/o “abuse-mailbox”, periódicamente, no menos de dos veces al año y en cualquier momento que LACNIC considere
oportuno.
La frecuencia periódica de validación podría ser modificada por LACNIC, si lo considera oportuno, informando a la comuni
dad de los motivos. Por ejemplo, podría realizarse una única validación el primer año, para facilitar el tiempo de adapt
ación a la política, y posteriormente, de forma progresiva, incrementar el número de validaciones anuales, llegando a se
r incluso trimestrales o mensuales, con el objetivo de incrementar la calidad de los contactos.
A criterio de LACNIC, de forma generalizada o en casos puntuales (por ejemplo para la confirmación en casos de escalado
según el 12.5), LACNIC podrá utilizar dominios diferentes a lacnic.*, e incluso modificar el asunto y cuerpo del mensaje
, para realizar dichas validaciones.
El incumplimiento por parte de cualquier organización, implicará inicialmente el bloqueo de “milacnic” para todos los re
cursos asociados con dicha organización, excepto para la actualización de los contactos abuse-c/abuse-mailbox, de tal fo
rma que puedan ser re-validados para permitir el desbloqueo de “milacnic”.
LACNIC realizará un seguimiento más exhaustivo, y en el caso en que en la siguiente validación automática sigue confirmá
ndose el incumplimiento, actuará de conformidad con las políticas y procedimientos pertinentes de LACNIC y especialmente
“7.1. Recuperación de recursos”.
12.5. Mecanismo de escalado a LACNIC
Con el objetivo de evitar engaño (por ejemplo, “abuse-mailbox” que solo responden a emails de LACNIC, a determinado asun
to o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no
atención de los casos de abuso) y, por lo tanto, para garantizar la calidad de los servicios en la región con los recur
sos distribuidos por LACNIC, se dispondrá de un buzón (por ejemplo, “escalado-abusos@lacnic.net”), que permita escalar d
ichas situaciones, permitiendo así a LACNIC activare una re-validación, según el punto 12.4 anterior, e incluso la inter
mediación de LACNIC y en su caso, la aplicación de las políticas/procedimientos pertinentes y especialmente “7.1. Recupe
ración de recursos”.

Información adicional

Ejemplo de procedimiento de validación.
1) La validación se inicia de forma automatizada, por parte de LACNIC, con el envío de DOS emails consecutivos al "ab
use-mailbox".
2) Dichos emails tendrán exclusivamente formato texto.
3) El primero de los emails contendrá la URL donde debe realizarse la validación, que será "validacion.lacnic.net", y
podrá contener información respecto del procedimiento, extracto de esta política, etc.
4) El segundo de los emails contendrá un código alfanumérico único de validación.
5) El receptor que atiende el "abuse-mailbox", deberá acceder a la URL y pegar en el formulario el código recibido en
el segundo email.
6) Dicha URL, deberá estar diseñada de tal forma que impida un proceso automatizado (por ejemplo, "captcha"), y conte
ndrá un texto que confirme que el receptor de la validación conoce el procedimiento, la política y que monitoriza de for
ma regular el "abuse-mailbox" y se toman medidas apropiadas para resolver los abusos reportados y responder a los mismos
, con un "checkbox" que necesariamente deberá ser aceptado.
7) El código alfanumérico sólo será válido durante un máximo de 2 días laborables.
8) Si el código no es introducido en ese plazo, el sistema marcará el "abuse-c" como "provisionalmente inválido", y a
lertará al staff de LACNIC para que se pueda iniciar el seguimiento personalizado con el LIR.
9) En caso de no obtener una respuesta, con la confirmación de la corrección de la situación, en un plazo adicional d
e 3 días laborables, el "abuse-c" será marcado de forma permanente como "inválido".
10) Se repetirá de forma automática el proceso de validación (puntos 1 al 7 anteriores), y en este caso, el "abuse-c"
será marcado como "válido" en caso satisfactorio, o en caso insatisfactorio, se trataría de un caso de incumplimiento d
e la política.

Ejemplo de procedimiento de validación.
1) La validación se inicia de forma automatizada, por parte de LACNIC, con el envío de DOS emails consecutivos al “ab
use-mailbox”.
2) Dichos emails tendrán exclusivamente formato texto (y por tanto ocultar URLs que correspondan a ataques como “phis
hing”, etc.).
3) El primero de los emails contendrá la URL donde debe realizarse la validación, que será “validacion.lacnic.net”, y
podrá contener información respecto del procedimiento, extracto de esta política, etc.
4) El segundo de los emails contendrá un código alfanumérico único de validación.
5) El receptor que atiende el “abuse-mailbox”, deberá acceder a la URL y pegar en el formulario el código recibido en
el segundo email.
6) Dicha URL, deberá estar diseñada de tal forma que impida un proceso automatizado (por ejemplo, “captcha”), y conte
ndrá un texto que confirme que el receptor de la validación conoce el procedimiento, la política y que monitoriza de for
ma regular el “abuse-mailbox” y se toman medidas apropiadas para resolver los abusos reportados y responder a los mismos
, con un “checkbox” que necesariamente deberá ser aceptado.
7) El código alfanumérico sólo será válido durante un máximo de 2 días laborables.
8) Si el código no es introducido en ese plazo, el sistema marcará el “abuse-c” como “provisionalmente inválido”, y a
lertará al staff de LACNIC para que se pueda iniciar el seguimiento personalizado con el receptor del recurso.
9) En caso de no obtener una respuesta, con la confirmación de la corrección de la situación, en un plazo adicional d
e 3 días laborables, el “abuse-c” será marcado de forma permanente como “inválido”.
10) Se repetirá de forma automática el proceso de validación (puntos 1 al 7 anteriores), y en este caso, el “abuse-c”
será marcado como “válido” en caso satisfactorio, o en caso insatisfactorio, se trataría de un caso de incumplimiento d
e la política.

Referencias

En RIPE se está tramitando una propuesta similar, aunque aún está en debate y no ha alcanzado consenso (a fecha de envío
de esta propuesta).

En RIPE se está tramitando una propuesta similar, aunque aún está en debate y ha alcanzado consenso. Se trata de una ver
sión mucho mas simple, y se ha presentado una nueva versión equivalente a esta misma propuesta. En APNIC ha alcanzado co
nsenso una versión equivalente a esta propuesta. En AfriNIC se ha presentado la misma propuesta.