Sistema de propuesta de políticas

Registro y validación del contacto de abuso

Referencias:

Nuevo

Eliminado

Modificado

Autores
Nombre: Jordi Palet Martinez Email: jordi.palet@theipv6company.com Organización: The IPv6 Company	Nombre: Jordi Palet Martinez Email: jordi.palet@theipv6company.com Organización: The IPv6 Company
Resumen
La propuesta permite garantizar y validar los contactos de abuso del WHOIS (abuse-c y abuse-mailbox) de las organizaciones y poder así reportar los casos de abuso y resolverlos. Esta propuesta pretende resolver el problema y garantizar la existencia de un contacto abuse-c correcto y el proceso para su uso.	La propuesta permite garantizar y validar los contactos de abuso del WHOIS (abuse-c y abuse-mailbox) de las organizaciones y poder así reportar los casos de abuso y resolverlos. Esta propuesta pretende resolver el problema y garantizar la existencia de un contacto abuse-c correcto y el proceso para su uso.
Justificación(Describa el problema que pretende solucionar)
La política actual (ASN) no es clara en cuanto a la obligación de registrar un contacto de abuse (abuse-c) ni al formato específico y si aplica a otros casos de registros en el WHOIS. Como consecuencia, puede haber receptores de recursos de LACNIC que no tienen dicho contacto registrado para sus recursos, o incluso hay casos de LIRs/ISPs, usuarios finales, u otros, que utilizan un buzón de correo inexistente o que no está activamente monitorizado. La falta de validación de los contactos ha vuelto ineficaz el reporte de casos de abusos, generando problemas de seguridad y costes para las víctimas. Para tratar de resolver este problema, se plantea una sencilla verificación periódica del contacto de abuso, evitando así costes innecesarios a terceras partes. La propuesta garantiza que el coste de procesar los abusos recaiga sobre el receptor del recurso que, quién directa o indirectamente (su cliente y del cual recibe posiblemente compensación por el servicio), es responsable del abuso, en lugar de recaer sobre la víctima. Téngase en cuenta que ello evita el posible agravamiento, tiempo y gatos judiciales para ambas partes si se acude a dicha instancia. Para ello, el atributo abuse-c, que hasta ahora sólo estaba referenciado para el objeto “aut-num”, se hace obligatorio en los objetos “inetnum” (tanto para IPv4 como para IPv6), y cualesquiera puedan surgir en el futuro. Este atributo es un contacto de abuso, que contendrá como mínimo el atributo “abuse-mailbox”.	La política actual (ASN) no es clara en cuanto a la obligación de registrar un contacto de abuse (abuse-c) ni al formato específico y si aplica a otros casos de registros en el WHOIS. Como consecuencia, puede haber receptores de recursos de LACNIC que no tienen dicho contacto registrado para sus recursos, o incluso hay casos de LIRs/ISPs, usuarios finales, u otros, que utilizan un buzón de correo inexistente o que no está activamente monitorizado. La falta de validación de los contactos ha vuelto ineficaz el reporte de casos de abusos, generando problemas de seguridad y costes para las víctimas. Para tratar de resolver este problema, se plantea una sencilla verificación periódica del contacto de abuso, evitando así costes innecesarios a terceras partes. La propuesta garantiza que el coste de procesar los abusos recaiga sobre el receptor del recurso que, quién directa o indirectamente (su cliente y del cual recibe posiblemente compensación por el servicio), es responsable del abuso, en lugar de recaer sobre la víctima. Téngase en cuenta que ello evita el posible agravamiento, tiempo y gatos judiciales para ambas partes si se acude a dicha instancia. Para ello, el atributo abuse-c, que hasta ahora sólo estaba referenciado para el objeto “aut-num”, se hace obligatorio en los objetos “inetnum” (tanto para IPv4 como para IPv6), y cualesquiera puedan surgir en el futuro. Este atributo es un contacto de abuso, que contendrá como mínimo el atributo “abuse-mailbox”.
Texto actual
Texto actual: No existe Nuevo texto: 12. Registro y Validación de “abuse-c” y “abuse-mailbox” 12.1. Descripción del “abuse-c” y “abuse-mailbox” Todos los recursos que utilicen los sistemas de registro de LACNIC deben incluir obligatoriamente, en las entradas de WHOIS correspondientes, el atributo de contacto abuse-c (contacto de abuso), como mínimo con un email abuse-mailbox válido, monitorizado y adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y similares. El atributo abuse-mailbox debe estar disponible sin restricciones vía whois, APIs y futuras tecnologías. Teniendo en cuenta la naturaleza jerárquica de los objetos, los heredados de aquellos distribuidos directamente por LACNIC (por ejemplo, sub-asignaciones), estan cubiertos por los objetos de nivel superior y su propio atributo “abuse-c” es opcional. Siguiendo prácticas habituales, otros atributos “email” pueden ser incluidos para otros propósitos. 12.2. Características del “abuse-mailbox” Los emails enviados a “abuse-mailbox” deben requerir intervención manual en algún momento, por parte del destinatario, y no pueden estar filtrados, ya que ello podría impedir, en algunos casos, la recepción de un reporte de abuso. Por ejemplo, un reporte de spam, al incluir el propio mensaje de spam o URLs o contenidos habitualmente clasificados como spam. El buzón “abuse-mailbox” podrá devolver inicialmente, una respuesta automática, por ejemplo, asignando un número de ticket, aplicando procedimientos de clasificación, pidiendo más información, etc. Sin embargo, no podrá requerir el uso de un formulario, ya que ello implicaría que cada entidad que necesite reportar abusos, generalmente de forma automatizada, se vea obligada a desarrollar una interfaz específica para cada receptor de recursos al que tiene que reportar un abuso. Ello sería inviable, ya que haría recaer el coste del procesado de los abusos en el que envía la reclamación, víctima del abuso, en lugar de sobre aquel que (directa o indirectamente) causa el abuso. Lo razonable, es que quien informa del abuso, lo haga en el primer reporte, enviando información suficiente (log, copia del spam o cabeceras completas, lo equivalente en cada tipo de abuso). Igualmente, es razonable que el email inicial de auto-respuesta indique que, si no se ha enviado dicha información, no será atendido, dando así la oportunidad a repetir el envío con las pruebas procedentes. Esto permite reportes automatizados, por ejemplo, mediante fail2ban, SpamCop u otros, con mínimo coste para ambas partes. Habitualmente, cabe esperar que, si se ha asignado un número de ticket, el mismo sea mantenido en todas las comunicaciones (típicamente como parte del asunto). 12.3. Objetivos de la validación del “abuse-c”/“abuse-mailbox” El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos: 1) Garantizar su funcionalidad y permitir a los “helpdesk” que atienden los reportes de abuso, la verificación de que la validación efectivamente proviene de LACNIC y no de terceras fuentes (implicando riesgos de seguridad, evitando, por ejemplo, una única URL “directa” para la validación). 2) Impedir un proceso exclusivamente automatizado. 3) Confirmar que quien valida: • asegura conocer el procedimiento y las políticas de LACNIC • monitoriza regularmente el “abuse-mailbox” • toma medidas al respecto • responde al reporte de abuso. 4) Plazo de validación “inicial” de 15 días. 5) Si no se valida correctamente, “escalado” con el resto de los contactos disponibles, en un plazo “adicional” de 15 días. Los plazos de validación podrán ser modificados a criterio de LACNIC, informando a la comunidad de los motivos. (a título de recomendación, se propone un procedimiento detallado en “información adicional” de esta propuesta de política) 12.4. Validación del “abuse-c”/“abuse-mailbox” LACNIC validará el cumplimiento de la política de forma periódica, al menos dos veces al año, y cuando se creen o modifiquen los atributos del “abuse-c”. La frecuencia de validación podrá ser modificada a criterio de LACNIC, informando a la comunidad de los motivos. 12.5. De los incumplimientos El incumplimiento por parte de cualquier organización se produce si no se ha validado en el plazo “inicial” ni “adicional”. Ello implicará el bloqueo de MiLACNIC y medidas equivalentes en los sistemas de los NIRs, para todos los recursos asociados con dicha organización. Quedan exceptuadas las cuestiones exclusivamente contractuales y relacionadas con pagos, así como la actualización de los contactos abuse-c/abuse-mailbox, de tal forma que puedan ser automáticamente re-validados para permitir el desbloqueo de MiLACNIC. Cualquier acceso a MiLACNIC (o sistemas equivalentes de los NIRs), durante dicho bloqueo, mostrará un mensaje de advertencia, incluyendo el texto de esta política, y para permitir continuar será necesario que dicho mensaje sea “leído” hasta el final, y se confirme mediante un check-box o similar. Se podrán utilizar mecanismos equivalentes adaptados al avance de la tecnología. De mantenerse el incumplimiento, LACNIC actuará de conformidad con sus políticas y procedimientos pertinentes. 12.6. Mecanismo de escalado a LACNIC Comportamientos fraudulentos (por ejemplo, “abuse-mailbox” que solo responden a emails de LACNIC, a determinado asunto o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no atención de los casos de abuso), podrán ser reportados a LACNIC, para su re-validación según 12.4.	Texto actual: No existe Nuevo texto: 12. Registro y Validación de “abuse-c” y “abuse-mailbox” 12.1. Descripción del “abuse-c” y “abuse-mailbox” Todos los recursos que utilicen los sistemas de registro de LACNIC deben incluir obligatoriamente, en las entradas de WHOIS correspondientes, el atributo de contacto abuse-c (contacto de abuso), como mínimo con un email abuse-mailbox válido, monitorizado y adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y similares. El atributo abuse-mailbox debe estar disponible sin restricciones vía whois, APIs y futuras tecnologías. Teniendo en cuenta la naturaleza jerárquica de los objetos, los heredados de aquellos distribuidos directamente por LACNIC (por ejemplo, sub-asignaciones), estaán cubiertos por los objetos de nivel superior y su propio atributo “abuse-c” es opcional. Siguiendo prácticas habituales, otros atributos “email” pueden ser incluidos para otros propósitos. 12.2. ~~Cara~~Acter~~ísti~~cas del “abuse-mailbox” ~~Los emai~~El~~s enviados a~~ “abuse-mailbox” ~~deben requerir in~~t~~ervenc~~i~~ón manual~~ en ~~algún mom~~e~~nto,~~ ~~por parte de~~l ~~destinat~~a~~rio, y no pueden e~~s~~tar~~ ~~filtrado~~s~~, ya que ello podría~~ i~~mpedir, en al~~gu~~nos casos, la recepc~~i~~ón d~~e un ~~repor~~te ~~de abu~~so. ~~Por ejemplo, un reporte de sp~~ca~~m, al inclui~~r ~~el propio mens~~a~~je de spam o URLs o~~ conte~~nido~~rís ~~habi~~t~~ualmente clasif~~icados ~~como spam.~~ : ~~El b~~• Requ~~zón “abus~~ie~~-mailbox” pod~~r~~á d~~e~~volver~~ in~~icialmen~~te~~, una~~ r~~espu~~ve~~sta automát~~nci~~ca,~~ón por ~~ejem~~p~~lo,~~ a~~signando un núme~~r~~o de~~ t~~ick~~et, ~~aplican~~d~~o proc~~e~~dimientos de c~~l~~asificación,~~ pidie~~ndo má~~s tin~~form~~a~~ción, e~~t~~c. Sin emb~~argio~~, n~~. • No pod~~rá r~~equber exigir el uso de un formulario, ~~ya que ello im~~p~~lic~~aría ~~que cada entidad que necesite~~ reportar abu~~sos, ge~~n~~eralmente de forma~~ abu~~tomatizada,~~ so. • De vbea ~~obli~~ga~~da a desa~~r~~roll~~a~~r u~~na ti~~nterfa~~z ~~específica p~~ar~~a cada receptor de recursos al~~ que ~~tiene que reportar un abuso. El~~lo s~~ería inviable, ya que haría~~ re~~cae~~por ~~el cos~~te ~~del proce~~s~~ado~~ de ~~los~~ abuso~~s en el que envía la reclamación~~, ~~víctima de~~l ~~abus~~o~~, en lu~~g~~ar de~~ s~~obre aquel que (directa o indirectamente)~~, c~~ausa el~~ abuso. Lo razonable, ce~~s que quien info~~rma ~~del abu~~so, ~~lo haga~~ en je~~l pri~~m~~er re~~p~~orte, enviando información suficiente (~~lo~~g, copia del spam o cabeceras completa~~s, lo e~~quivalen~~t~~e en~~ c~~ada tipo de abuso)~~. ~~Igualmente~~, es r~~azonable que~~ el ema~~il inicial de au~~t~~o-respuesta~~ i~~ndique que, si no se ha en~~v~~iad~~o ~~dicha información, no~~ s~~erá~~ a~~tendido, dando así~~ l~~a oportunidad a repetir el envío~~ c~~on l~~as ~~pruebas procedentes. Est~~o ~~permite reportes automatiza~~d~~os, por~~ e~~jemplo,~~ ~~medi~~a~~nte fail2~~b~~an, SpamCop~~ u ~~otro~~s~~, c~~o~~n mínimo coste para ambas partes. Habitualmente~~, ~~cabe e~~spera~~r que, si se ha asignado u~~n ~~núme~~r~~o d~~e tic~~ket, el m~~i~~smo sea manten~~bido ~~en toda~~s ~~las comunicaciones (típicamente como parte del asunto)~~. 12.3. Objetivos de la validación del “abuse-c”/“abuse-mailbox” El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos: 1) GaPr~~antizar~~ ocesuo ~~func~~si~~onalidad y~~ mp~~ermitir a~~ l~~os “h~~e~~lpdesk”~~ que garanti~~end~~cen los ~~reportes de ab~~u~~so,~~ ~~la veri~~f~~ica~~uncióon ~~de que la v~~alida~~ción efectivamente proviene~~ d~~e LACNIC~~ y ~~no d~~el ~~ter~~c~~eras f~~u~~entes (i~~mpli~~cando r~~miesgntos de segu~~ridad, evitando,~~ por ~~ejempl~~o~~, una única URL “directa”~~ p~~ara la validaci~~ón). 2) Impedir un proceso exclusi~~vamen~~t~~e automatizad~~o. 32) Confirmar que quien valida: • asegura conocer el procedimiento y las políticas de LACNIC • monitoriza regularmente el “abuse-mailbox” • toma medidas al respecto • responde al reporte de abuso. 43) Plazo de validación “inicial” de 15 días. 54) Si no se valida correctamente, “escalado”, cpo~~n el~~ r~~esto de los~~ c~~ont~~ua~~ctos~~lquier mediso ponsibles, ~~en un plazo “adi~~cion~~al”~~ de 15 días. Los pl~~azos~~ ~~de validación pod~~r~~án s~~e~~r modificado~~s ~~a cri~~t~~eri~~o de ~~LACNIC, informand~~lo ~~a la~~s comunidta~~d de l~~ctos ~~mot~~divos. (a títulpo ~~de recome~~n~~dac~~iónbles, se ~~propo~~ne un p~~rocedimiento detal~~ladzo en “~~información~~ adicional” de ~~esta propuesta~~15 d~~e pol~~í~~tic~~a)s. 12.4. Validación del “abuse-c”/“abuse-mailbox” LACNIC validará el cumplimiento de la política de forma periódica, al menos dos veces al año, y cuando se creen o modifiquen los atributos del “abuse-c”. La frecuencia de validación podrá ser modificada a criterio de LACNIC, informando a la comunidad de los motivos. 12.5. De los incumplimientos El incumplimiento por parte de cualquier organización se produce si no se ha validado en el plazo “inicial” ni “adicional”. Ello implicará el bloqueo de MiLACNIC y medidas equivalentes en los sistemas de los NIRs, para todos los recursos asociados con dicha organización. Quedan exceptuadas las cuestiones exclusivamente contractuales y relacionadas con pagos, así como la actualización de los contactos abuse-c/abuse-mailbox, de tal forma que puedan ser automáticamente re-validados para permitir el desbloqueo de MiLACNIC. Cualquier acceso a MiLACNIC (o sistemas equivalentes de los NIRs), durante dicho bloqueo, mostrará un mensaje de advertencia, incluyendo el texto de esta política, y para permitir continuar será necesario que dicho mensaje sea “leído” hasta el final, y se confirme mediante un check-box o similar. Se podrán utilizar mecanismos equivalentes adaptados al avance de la tecnología. De mantenerse el incumplimiento, LACNIC actuará de conformidad con sus políticas y procedimientos pertinentes. 12.65. Mecanismo de escalado a LACNIC Comportamientos fraudulentos (por ejemplo, “abuse-mailbox” que solo responden a emails de LACNIC, a determinado asunto o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no atención de los casos de abuso), podrán ser reportados a LACNIC, para su re-validación según 12.4.
Texto nuevo
Texto actual: No existe Nuevo texto: 12. Registro y Validación de “abuse-c” y “abuse-mailbox” 12.1. Descripción del “abuse-c” y “abuse-mailbox” Todos los recursos que utilicen los sistemas de registro de LACNIC deben incluir obligatoriamente, en las entradas de WHOIS correspondientes, el atributo de contacto abuse-c (contacto de abuso), como mínimo con un email abuse-mailbox válido, monitorizado y adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y similares. El atributo abuse-mailbox debe estar disponible sin restricciones vía whois, APIs y futuras tecnologías. Teniendo en cuenta la naturaleza jerárquica de los objetos, los heredados de aquellos distribuidos directamente por LACNIC (por ejemplo, sub-asignaciones), estan cubiertos por los objetos de nivel superior y su propio atributo “abuse-c” es opcional. Siguiendo prácticas habituales, otros atributos “email” pueden ser incluidos para otros propósitos. 12.2. Características del “abuse-mailbox” Los emails enviados a “abuse-mailbox” deben requerir intervención manual en algún momento, por parte del destinatario, y no pueden estar filtrados, ya que ello podría impedir, en algunos casos, la recepción de un reporte de abuso. Por ejemplo, un reporte de spam, al incluir el propio mensaje de spam o URLs o contenidos habitualmente clasificados como spam. El buzón “abuse-mailbox” podrá devolver inicialmente, una respuesta automática, por ejemplo, asignando un número de ticket, aplicando procedimientos de clasificación, pidiendo más información, etc. Sin embargo, no podrá requerir el uso de un formulario, ya que ello implicaría que cada entidad que necesite reportar abusos, generalmente de forma automatizada, se vea obligada a desarrollar una interfaz específica para cada receptor de recursos al que tiene que reportar un abuso. Ello sería inviable, ya que haría recaer el coste del procesado de los abusos en el que envía la reclamación, víctima del abuso, en lugar de sobre aquel que (directa o indirectamente) causa el abuso. Lo razonable, es que quien informa del abuso, lo haga en el primer reporte, enviando información suficiente (log, copia del spam o cabeceras completas, lo equivalente en cada tipo de abuso). Igualmente, es razonable que el email inicial de auto-respuesta indique que, si no se ha enviado dicha información, no será atendido, dando así la oportunidad a repetir el envío con las pruebas procedentes. Esto permite reportes automatizados, por ejemplo, mediante fail2ban, SpamCop u otros, con mínimo coste para ambas partes. Habitualmente, cabe esperar que, si se ha asignado un número de ticket, el mismo sea mantenido en todas las comunicaciones (típicamente como parte del asunto). 12.3. Objetivos de la validación del “abuse-c”/“abuse-mailbox” El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos: 1) Garantizar su funcionalidad y permitir a los “helpdesk” que atienden los reportes de abuso, la verificación de que la validación efectivamente proviene de LACNIC y no de terceras fuentes (implicando riesgos de seguridad, evitando, por ejemplo, una única URL “directa” para la validación). 2) Impedir un proceso exclusivamente automatizado. 3) Confirmar que quien valida: • asegura conocer el procedimiento y las políticas de LACNIC • monitoriza regularmente el “abuse-mailbox” • toma medidas al respecto • responde al reporte de abuso. 4) Plazo de validación “inicial” de 15 días. 5) Si no se valida correctamente, “escalado” con el resto de los contactos disponibles, en un plazo “adicional” de 15 días. Los plazos de validación podrán ser modificados a criterio de LACNIC, informando a la comunidad de los motivos. (a título de recomendación, se propone un procedimiento detallado en “información adicional” de esta propuesta de política) 12.4. Validación del “abuse-c”/“abuse-mailbox” LACNIC validará el cumplimiento de la política de forma periódica, al menos dos veces al año, y cuando se creen o modifiquen los atributos del “abuse-c”. La frecuencia de validación podrá ser modificada a criterio de LACNIC, informando a la comunidad de los motivos. 12.5. De los incumplimientos El incumplimiento por parte de cualquier organización se produce si no se ha validado en el plazo “inicial” ni “adicional”. Ello implicará el bloqueo de MiLACNIC y medidas equivalentes en los sistemas de los NIRs, para todos los recursos asociados con dicha organización. Quedan exceptuadas las cuestiones exclusivamente contractuales y relacionadas con pagos, así como la actualización de los contactos abuse-c/abuse-mailbox, de tal forma que puedan ser automáticamente re-validados para permitir el desbloqueo de MiLACNIC. Cualquier acceso a MiLACNIC (o sistemas equivalentes de los NIRs), durante dicho bloqueo, mostrará un mensaje de advertencia, incluyendo el texto de esta política, y para permitir continuar será necesario que dicho mensaje sea “leído” hasta el final, y se confirme mediante un check-box o similar. Se podrán utilizar mecanismos equivalentes adaptados al avance de la tecnología. De mantenerse el incumplimiento, LACNIC actuará de conformidad con sus políticas y procedimientos pertinentes. 12.6. Mecanismo de escalado a LACNIC Comportamientos fraudulentos (por ejemplo, “abuse-mailbox” que solo responden a emails de LACNIC, a determinado asunto o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no atención de los casos de abuso), podrán ser reportados a LACNIC, para su re-validación según 12.4.	Texto actual: No existe Nuevo texto: 12. Registro y Validación de “abuse-c” y “abuse-mailbox” 12.1. Descripción del “abuse-c” y “abuse-mailbox” Todos los recursos que utilicen los sistemas de registro de LACNIC deben incluir obligatoriamente, en las entradas de WHOIS correspondientes, el atributo de contacto abuse-c (contacto de abuso), como mínimo con un email abuse-mailbox válido, monitorizado y adecuadamente atendido, que permita enviar reportes manuales o automáticos de comportamientos abusivos, seguridad, y similares. El atributo abuse-mailbox debe estar disponible sin restricciones vía whois, APIs y futuras tecnologías. Teniendo en cuenta la naturaleza jerárquica de los objetos, los heredados de aquellos distribuidos directamente por LACNIC (por ejemplo, sub-asignaciones), estaán cubiertos por los objetos de nivel superior y su propio atributo “abuse-c” es opcional. Siguiendo prácticas habituales, otros atributos “email” pueden ser incluidos para otros propósitos. 12.2. ~~Cara~~Acter~~ísti~~cas del “abuse-mailbox” ~~Los emai~~El~~s enviados a~~ “abuse-mailbox” ~~deben requerir in~~t~~ervenc~~i~~ón manual~~ en ~~algún mom~~e~~nto,~~ ~~por parte de~~l ~~destinat~~a~~rio, y no pueden e~~s~~tar~~ ~~filtrado~~s~~, ya que ello podría~~ i~~mpedir, en al~~gu~~nos casos, la recepc~~i~~ón d~~e un ~~repor~~te ~~de abu~~so. ~~Por ejemplo, un reporte de sp~~ca~~m, al inclui~~r ~~el propio mens~~a~~je de spam o URLs o~~ conte~~nido~~rís ~~habi~~t~~ualmente clasif~~icados ~~como spam.~~ : ~~El b~~• Requ~~zón “abus~~ie~~-mailbox” pod~~r~~á d~~e~~volver~~ in~~icialmen~~te~~, una~~ r~~espu~~ve~~sta automát~~nci~~ca,~~ón por ~~ejem~~p~~lo,~~ a~~signando un núme~~r~~o de~~ t~~ick~~et, ~~aplican~~d~~o proc~~e~~dimientos de c~~l~~asificación,~~ pidie~~ndo má~~s tin~~form~~a~~ción, e~~t~~c. Sin emb~~argio~~, n~~. • No pod~~rá r~~equber exigir el uso de un formulario, ~~ya que ello im~~p~~lic~~aría ~~que cada entidad que necesite~~ reportar abu~~sos, ge~~n~~eralmente de forma~~ abu~~tomatizada,~~ so. • De vbea ~~obli~~ga~~da a desa~~r~~roll~~a~~r u~~na ti~~nterfa~~z ~~específica p~~ar~~a cada receptor de recursos al~~ que ~~tiene que reportar un abuso. El~~lo s~~ería inviable, ya que haría~~ re~~cae~~por ~~el cos~~te ~~del proce~~s~~ado~~ de ~~los~~ abuso~~s en el que envía la reclamación~~, ~~víctima de~~l ~~abus~~o~~, en lu~~g~~ar de~~ s~~obre aquel que (directa o indirectamente)~~, c~~ausa el~~ abuso. Lo razonable, ce~~s que quien info~~rma ~~del abu~~so, ~~lo haga~~ en je~~l pri~~m~~er re~~p~~orte, enviando información suficiente (~~lo~~g, copia del spam o cabeceras completa~~s, lo e~~quivalen~~t~~e en~~ c~~ada tipo de abuso)~~. ~~Igualmente~~, es r~~azonable que~~ el ema~~il inicial de au~~t~~o-respuesta~~ i~~ndique que, si no se ha en~~v~~iad~~o ~~dicha información, no~~ s~~erá~~ a~~tendido, dando así~~ l~~a oportunidad a repetir el envío~~ c~~on l~~as ~~pruebas procedentes. Est~~o ~~permite reportes automatiza~~d~~os, por~~ e~~jemplo,~~ ~~medi~~a~~nte fail2~~b~~an, SpamCop~~ u ~~otro~~s~~, c~~o~~n mínimo coste para ambas partes. Habitualmente~~, ~~cabe e~~spera~~r que, si se ha asignado u~~n ~~núme~~r~~o d~~e tic~~ket, el m~~i~~smo sea manten~~bido ~~en toda~~s ~~las comunicaciones (típicamente como parte del asunto)~~. 12.3. Objetivos de la validación del “abuse-c”/“abuse-mailbox” El procedimiento, que habrá de ser desarrollado por LACNIC, deberá cumplir con estos objetivos: 1) GaPr~~antizar~~ ocesuo ~~func~~si~~onalidad y~~ mp~~ermitir a~~ l~~os “h~~e~~lpdesk”~~ que garanti~~end~~cen los ~~reportes de ab~~u~~so,~~ ~~la veri~~f~~ica~~uncióon ~~de que la v~~alida~~ción efectivamente proviene~~ d~~e LACNIC~~ y ~~no d~~el ~~ter~~c~~eras f~~u~~entes (i~~mpli~~cando r~~miesgntos de segu~~ridad, evitando,~~ por ~~ejempl~~o~~, una única URL “directa”~~ p~~ara la validaci~~ón). 2) Impedir un proceso exclusi~~vamen~~t~~e automatizad~~o. 32) Confirmar que quien valida: • asegura conocer el procedimiento y las políticas de LACNIC • monitoriza regularmente el “abuse-mailbox” • toma medidas al respecto • responde al reporte de abuso. 43) Plazo de validación “inicial” de 15 días. 54) Si no se valida correctamente, “escalado”, cpo~~n el~~ r~~esto de los~~ c~~ont~~ua~~ctos~~lquier mediso ponsibles, ~~en un plazo “adi~~cion~~al”~~ de 15 días. Los pl~~azos~~ ~~de validación pod~~r~~án s~~e~~r modificado~~s ~~a cri~~t~~eri~~o de ~~LACNIC, informand~~lo ~~a la~~s comunidta~~d de l~~ctos ~~mot~~divos. (a títulpo ~~de recome~~n~~dac~~iónbles, se ~~propo~~ne un p~~rocedimiento detal~~ladzo en “~~información~~ adicional” de ~~esta propuesta~~15 d~~e pol~~í~~tic~~a)s. 12.4. Validación del “abuse-c”/“abuse-mailbox” LACNIC validará el cumplimiento de la política de forma periódica, al menos dos veces al año, y cuando se creen o modifiquen los atributos del “abuse-c”. La frecuencia de validación podrá ser modificada a criterio de LACNIC, informando a la comunidad de los motivos. 12.5. De los incumplimientos El incumplimiento por parte de cualquier organización se produce si no se ha validado en el plazo “inicial” ni “adicional”. Ello implicará el bloqueo de MiLACNIC y medidas equivalentes en los sistemas de los NIRs, para todos los recursos asociados con dicha organización. Quedan exceptuadas las cuestiones exclusivamente contractuales y relacionadas con pagos, así como la actualización de los contactos abuse-c/abuse-mailbox, de tal forma que puedan ser automáticamente re-validados para permitir el desbloqueo de MiLACNIC. Cualquier acceso a MiLACNIC (o sistemas equivalentes de los NIRs), durante dicho bloqueo, mostrará un mensaje de advertencia, incluyendo el texto de esta política, y para permitir continuar será necesario que dicho mensaje sea “leído” hasta el final, y se confirme mediante un check-box o similar. Se podrán utilizar mecanismos equivalentes adaptados al avance de la tecnología. De mantenerse el incumplimiento, LACNIC actuará de conformidad con sus políticas y procedimientos pertinentes. 12.65. Mecanismo de escalado a LACNIC Comportamientos fraudulentos (por ejemplo, “abuse-mailbox” que solo responden a emails de LACNIC, a determinado asunto o determinado cuerpo del mensaje), o el incumplimiento del resto de los aspectos de esta política (la incorrecta o no atención de los casos de abuso), podrán ser reportados a LACNIC, para su re-validación según 12.4.
Información adicional
Nota (no debe ser incluida en el manual de políticas): La sección actual “12. Apéndices” pasa ser “A. Apéndices”, al final del manual de políticas, y se renumera en todo el manual de políticas, todas las referencias a ella. De este modo, nuevas secciones del manual, no requieren futuras renumeraciones, según el manual vaya “creciendo”. El texto de esta propuesta pasa por lo tanto a ser la sección 12, o la que considere oportuna el staff en el momento de su implementación, una vez alcanzado el consenso. El texto siguiente es un ejemplo de procedimiento de validación, considerando prácticas habituales en los “helpdesk” (mesas de ayuda), que por ejemplo impiden clicar en un enlace html de un email, para evitar casos de phishing u otros. Aun cuando este texto no es parte del texto de la política, se recomienda su estricta consideración, dado que es resultado de discusiones relacionadas con políticas de abuse-c en la comunidad global. 1) La validación se inicia de forma automatizada, por parte de LACNIC, con el envío de DOS emails consecutivos al “abuse-mailbox”. 2) Dichos emails tendrán exclusivamente formato texto (y por tanto ocultar URLs que correspondan a ataques como “phishing”, etc.). 3) A criterio de LACNIC, de forma generalizada o en casos puntuales (por ejemplo para la confirmación en casos de escalado según el 12.6), LACNIC podrá utilizar dominios diferentes a lacnic.*, e incluso modificar el asunto y cuerpo del mensaje, para realizar dichas validaciones de forma mas eficaz. 4) El primero de los emails contendrá la URL donde debe realizarse la validación, que será “validacion.lacnic.net”, y podrá contener información respecto del procedimiento, extracto de esta política, etc. 5) El segundo de los emails contendrá un código alfanumérico único de validación. 6) El receptor que atiende el “abuse-mailbox”, deberá acceder a la URL y pegar en el formulario el código recibido en el segundo email. 7) Dicha URL, deberá estar diseñada de tal forma que impida un proceso automatizado (por ejemplo, “captcha”), y contendrá un texto que confirme que el receptor de la validación conoce el procedimiento, la política y que monitoriza de forma regular el “abuse-mailbox” y se toman medidas apropiadas para resolver los abusos reportados y responder a los mismos, con un “checkbox” que necesariamente deberá ser aceptado. 8) El código alfanumérico sólo será válido durante un máximo de 15 días. 9) Si el código no es introducido en ese plazo, el sistema marcará el “abuse-c” como “provisionalmente inválido”, y alertará al staff de LACNIC para que se pueda iniciar el seguimiento personalizado con el receptor del recurso. 10) En caso de no obtener una respuesta, con la confirmación de la corrección de la situación, en un plazo adicional de 15 días, el “abuse-c” será marcado de forma permanente como “inválido”. 11) Se repetirá de forma automática el proceso de validación (puntos 1 al 7 anteriores), y en este caso, el “abuse-c” será marcado como “válido” en caso satisfactorio, o en caso insatisfactorio, se trataría de un caso de incumplimiento de la política. 12) LACNIC contará con mecanismos (formulario, correo electrónico y otros en el futuro) para facilitar el escalado en los casos en los que se quiera reportar un incumplimiento de esta política. Ello permitirá la re-validación (12.4) y la intervención de LACNIC en aplicación de las políticas, procedimientos y requisitos contractuales vigentes.	Nota (no debe ser incluida en el manual de políticas): La sección actual “12. Apéndices” pasa ser “A. Apéndices”, al final del manual de políticas, y se renumera en todo el manual de políticas, todas las referencias a ella. De este modo, nuevas secciones del manual, no requieren futuras renumeraciones, según el manual vaya “creciendo”. El texto de esta propuesta pasa por lo tanto a ser la sección 12, o la que considere oportuna el staff en el momento de su implementación, una vez alcanzado el consenso. ~~El text~~Lo s~~iguiente~~ ~~es un ejem~~pl~~o de procedimient~~azos de validación, ~~cons~~“i~~dera~~n~~do práct~~ic~~as hab~~itual~~es en~~” ~~los~~y “~~helpd~~es~~k” (mes~~ca~~s de~~ layud~~a), que p~~o~~r ejemplo~~”, imp~~iden clicar en~~ un e~~nlace html~~ de un ~~email, para~~ se~~vita~~r ~~cas~~mos d~~e ph~~ishfi~~ng u otros. Aun~~ cuando este ~~texto n~~po ~~es pa~~rte ~~del texto de la política~~LACNIC, s~~e recom~~i~~enda~~ su e~~stricta~~ considera~~ción,~~ dapropiado ~~que~~, sies mpres y cultando ~~de discu~~s~~ion~~es ~~relac~~ion~~adas c~~fo~~n políticas d~~rme a~~buse-c en~~ la comunidad global. 1) La validac~~ión s~~e ~~ini~~rcia de flo~~rma~~s ~~aut~~momati~~zada, p~~vors partea d~~e LACNIC,~~icho cambion. ~~el enví~~Por de ~~DOS~~ jemaipl~~s c~~o, en~~secutivos~~ ala “fabuse~~-ma~~ ilbox”. 2) Dnic~~hos em~~iails tde~~ndrán~~ ~~exc~~l~~usiv~~a~~mente~~ ~~for~~im~~ato texto (y~~ p~~or tanto ocu~~l~~tar URLs qu~~e ~~corr~~me~~spo~~n~~dan a a~~ta~~ques~~ c~~omo “ph~~i~~shi~~óng”, estc.). 3) Aos ~~crit~~periío deos ~~LACNIC, de f~~podrmían gextender~~alizada o~~ sen cy asojus ~~pun~~tualers ~~(por ej~~e~~mplo~~ par~~a la c~~o~~nfi~~gr~~mación~~ e~~n ca~~s~~os d~~ivame nte~~scalado~~ según ~~el 12.6), LACNIC podrá~~ u~~tiliz~~n mayor ~~domini~~po~~s dife~~rcent~~es a l~~a~~cnic.*,~~ je ~~incluso mo~~d~~ificar~~ el conta~~sun~~cto ys ~~cuerp~~so ~~del~~n mve~~nsaje, pa~~r~~a real~~i~~zar d~~fic~~has v~~alid~~aci~~ones d. De forma mas efimiclaz. 4) El pr~~imero de~~, l~~os em~~a~~ils~~ frec~~ont~~uen~~drá l~~cia ~~URL don~~de ~~debe realizarse~~ la validación, ~~que s~~per~~á “val~~iódaci~~on.la~~c~~nic.net”~~a, y p~~odrá cont~~uender ~~información re~~spe~~cto del~~r prmocedimfi~~ento, extra~~cto ad~~e est~~a po~~lítica~~r LACNIC, etc. 5) El s~~egundo de~~i lo~~s emails~~ contsidendráa un ec~~ódigo alf~~esa~~numé~~rico ~~único de~~, ~~val~~i~~dació~~n. 6) El receptfor ~~que~~ ma~~tie~~ndeo ~~el “~~tamb~~use-ma~~i~~lbox”, deberá acceder~~én a la ~~URL y pegar en el f~~cormu~~lar~~ni~~o el có~~d~~igo recibi~~ado ~~en el segundo em~~ail. 7) Dic~~ha URL, deb~~er~~á estar diseñad~~ca de tal fo~~rma que~~s im~~pida un proces~~o ~~automa~~ti~~zad~~vos. (pPor ejemplo, ~~“ca~~el p~~tcha”), y cont~~rimendrá ~~un text~~año quse cpo~~nfi~~drmeía qure eal ~~recepto~~izar deuna sola validación para fac~~onoce~~ilitar el cump~~roced~~limiento, de la política, y quel mon~~ito~~úmer~~iza~~o de ~~form~~va ~~regu~~lida~~r el “abuse-ma~~cilbo~~x” y~~ nese ~~toma~~in creme~~did~~ntarse apro~~piadas para~~ gresolivamernte, loquizás abinclusos ~~repor~~t~~ados y~~ rimes~~ponde~~tr a los m~~ismos~~ente, con unel ~~“ch~~obje~~ckb~~tivox” qude ~~nec~~mesajoria~~mente deberá se~~r aceptado. 8) Ela c~~ódigo~~ al~~fanumér~~icodad de sólo s~~erá~~ ~~válid~~co ~~dura~~nt~~e un máximo de 15 dí~~actos. ~~9) Si~~ El te~~l código n~~xto es i~~ntrod~~gucido ente ese ~~plazo,~~un e~~l sist~~jem~~a marcará e~~plo ~~“abus~~de~~-c”~~ ~~como “~~provcedi~~sional~~miento de inváalido”ación, ~~y al~~considerta~~rá al staff~~ nd~~e LACNIC~~o paráctica ~~que~~ se ~~pued~~ha bi~~nici~~tuar lels ~~seguimi~~ento ~~persona~~l~~izad~~os ~~con~~ “hel ~~rece~~p~~tor~~ delsk” r(me~~cur~~so. 10) En caso de ~~no obtener~~ ayunda), ~~resp~~que~~sta,~~ cponr ejempl~~a c~~onf irmacpión de lan c~~orrección de~~ l~~a s~~ituca~~ción,~~r en un ~~plazo adicio~~enal ~~de 15 dí~~a~~s, el “abuse-~~c~~” s~~erá htm~~arcado~~l de ~~forma~~un perma~~nente como “~~i~~nvá~~lido”. 11) Se, rep~~etirá de fo~~arma ~~automá~~eviticar ~~el pro~~ceasos de ~~val~~phi~~dac~~shióng (punt o~~s 1 al 7 an~~teriores~~), y~~. eAun ~~este~~ c~~aso, el “ab~~u~~se-c” será m~~a~~rca~~ndo ~~como “válido”~~ e~~n ca~~sote sat~~isfac~~exto~~rio,~~ no e~~n ca~~so ~~ins~~pa~~tisfacto~~r~~io, se tra~~t~~aría d~~e ~~un caso~~ de ~~incump~~l~~imi~~ tenxto de la política. 12) LACNIC, ~~conta~~se rá econ miecan~~ismos (formul~~da~~rio,~~ ~~correo~~su e~~lec~~strónicota ~~y otr~~cons ide~~n el futu~~r~~o) para f~~aci~~lit~~ón, dardo que els rescaultado den lodis causio~~s e~~n ~~los qu~~e s~~e quiera~~ re~~port~~la~~r un in~~c~~umpl~~i~~mient~~o nad~~e e~~asta con política.s ~~Ello p~~de~~rmitirá~~ la rbuse-~~valida~~ció en ~~(12.4)~~la ycomunidad global. ~~int~~(ver vencrsióon dante ~~LACNIC en apl~~ri~~cación~~or, de las pformul~~ític~~a~~s, p~~rio~~ced~~ limita el ntúmeros ~~y r~~de~~quisitos~~ c~~ont~~aract~~ual~~e~~s vigent~~res.)
Referencias
-	-