Anomalía de BGP ocurrida durante el apagón en Venezuela

 (loworbitsecurity.com)
2 puntos por GN⁺ 2026-01-06 | 1 comentarios | Compartir por WhatsApp
  • Al mismo tiempo que la crisis de apagón en Venezuela, se observó una anomalía de enrutamiento BGP centrada en CANTV (AS8048)
  • Según datos de Cloudflare Radar, el 2 de enero se enrutaron 8 prefijos IP que incluían rutas de CANTV a través de rutas AS anómalas
  • En esas rutas estaban incluidos Sparkle (Italia) y GlobeNet (Colombia), y Sparkle está clasificado como un operador “inseguro” que no aplica filtrado RPKI
  • Según el análisis con bgpdump, el número AS de CANTV (8048) se repitió 10 veces en la ruta AS, mostrando una forma que no coincide con las reglas normales de selección de rutas, y se confirmó que ese rango IP pertenece a Dayco Telecom de Caracas
  • Como esta fuga de rutas BGP, el apagón, la explosión y el momento de ingreso del ejército estadounidense ocurrieron en tiempos cercanos, queda claro que hubo actividad anómala a nivel de red

Apagón en Venezuela y anomalía de BGP

  • Durante la crisis de apagón en Venezuela se produjo una fuga de rutas BGP (route leak) centrada en CANTV (AS8048)
    • En datos de Cloudflare Radar, 8 prefijos IP fueron enrutados por rutas anómalas que pasaban por CANTV
    • En la ruta estaban incluidos Sparkle (Italia) y GlobeNet (Colombia)
  • Cloudflare Radar registró el 2 de enero un aumento repentino de anuncios BGP (announcements) y una disminución del espacio de direcciones IP públicas
    • La causa no está clara
  • En isbgpsafeyet.com, Sparkle está clasificado como un operador inseguro, y se confirmó que no aplica filtrado RPKI

Análisis de datos BGP

  • Usando datos públicos de ris.ripe.net y la herramienta bgpdump, se extrajeron los prefijos faltantes que Cloudflare no mostraba
    • El análisis mostró que CANTV (8048) se repetía 10 veces en la ruta AS
    • Como BGP prefiere rutas cortas, esta repetición implica una configuración de ruta anómala
  • Los 8 prefijos están todos dentro del bloque 200.74.224.0/20
    • Una consulta WHOIS confirmó que pertenecen a Dayco Telecom (con sede en Caracas)
  • Una consulta de DNS inverso mostró que ese rango IP incluía infraestructura crítica como bancos, proveedores de internet y servidores de correo

Línea de tiempo del incidente

  • 2 de enero 15:40 UTC: detección de fuga de rutas BGP (Cloudflare Radar)
  • 3 de enero alrededor de las 06:00: reporte de explosión en Caracas (NPR)
  • 3 de enero 06:00: el ejército estadounidense llega a la residencia de Maduro (NBC News)
  • 3 de enero 08:29: Maduro aborda el USS Iwo Jima (CNN)
  • Durante ese periodo hubo indicios de que el tráfico BGP fue desviado por una tercera ruta de tránsito, y si esa ruta hubiera sido controlada, existía la posibilidad de recopilar información

Análisis y observaciones

  • Que CANTV AS8048 se insertara 10 veces en la ruta reduce la prioridad del tráfico
    • No está claro si fue intencional, pero es evidente que hubo manipulación anómala de rutas (shenanigans)
  • Incluso solo con datos públicos, vale la pena seguir analizando la actividad anómala de red de ese momento
  • El texto deja de lado interpretaciones políticas y trata únicamente la anomalía técnica desde una perspectiva de seguridad ofensiva

Otros enlaces relacionados con seguridad

  • MCP Security: demuestra que un servidor MCP malicioso puede robar prompts de IA y variables de entorno
  • The Year in LLMs (2025): resumen sobre modelos de razonamiento, agentes de código, modelos open weight chinos y adopción de MCP
  • Linux is Good Now: discusión que ve 2026 como el año del escritorio Linux
  • No strcpy Either: el proyecto curl eliminó strcpy() e introdujo wrappers que especifican el tamaño del búfer
  • Kubernetes Networking Best Practices: guía sobre elección de CNI, políticas de red, service mesh y troubleshooting

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-06
Comentarios de Hacker News

  • Es posible manipular el enrutamiento de BGP para que el tráfico vaya de A a B pasando por C
    Si controlas el punto C, puedes recopilar información, pero en este caso de CANTV (AS8048) parece haber sido simplemente AS path prepending
    Esta es una técnica común de ingeniería de tráfico para reducir tráfico, y es un patrón que ya se ha usado muchas veces antes
    En esta ocasión, parece que la ruta de Telecom Italia Sparkle (AS6762) se propagó hacia GlobeNet Cabos Sumarinos Columbia (AS52320), y es muy probable que haya sido un simple error de configuración
    No hay señales de secuestro de rutas hacia Dayco Telecom (AS21980); de hecho, debido al prepending, era menos probable que pasaran por CANTV

  • Lo interesante del artículo fue que el 7% de las consultas DNS a 1.1.1.1 eran del tipo HTTPS
    Esto está relacionado con la implementación de ECH (Encrypted Client Hello) en TLS 1.3, donde el DNS aloja la clave pública del servidor para cifrar por completo el nombre del servidor en la solicitud HTTPS
    Como los principales servidores web, como Nginx, todavía no lo soportan, es muy probable que ese 7% sea en su mayoría tráfico interno de Cloudflare
    Los datos relacionados pueden verse en Cloudflare Radar

    • Los navegadores también usan esta consulta para verificar si un sitio soporta HTTP3
      Si la conexión es lenta, hacen fallback automático a HTTP1/2
    • Herramientas como Adguard Home pueden configurarse para procesar solicitudes DNS mediante HTTPS
      Ejemplo: https://dns.cloudflare.com/dns-query
    • Con este método, el nombre del host no queda expuesto en la etapa de DNS
      Aún no lo he probado directamente

  • Creo que los países con armas nucleares quedarían fuera del objetivo de este tipo de operaciones de secuestro
    Más bien, incidentes como este parecen aumentar la presión hacia la proliferación nuclear

    • Me da la impresión de que Corea del Norte tenía razón desde el principio
      Antes me parecía exagerado, pero ahora resulta que nosotros somos los que quedamos como payasos
    • Si estamos hablando de algo al nivel de un secuestro BGP, eso no tiene relación con la disuasión nuclear
      Está en otra categoría que acciones militares como una operación de decapitación por parte de EE. UU.
    • Tener armas nucleares no es un concepto binario simple
      Importan los medios de lanzamiento y la capacidad defensiva, y es poco probable que algo como el secuestro de un líder termine en represalia nuclear
      El simple hecho de ‘intentar’ usar armas nucleares ya implica un cálculo muy arriesgado
      Por ejemplo, se asume que la mayoría de los ataques con misiles de Irán serán interceptados
    • La disuasión nuclear solo funciona si existe la voluntad real de usarla
      Incluso si Venezuela tuviera armas nucleares, esto probablemente igual habría ocurrido

  • Este incidente parece haber sido menos algo malicioso y más bien que CANTV (AS8048) envió un anuncio con prepending hacia 52320
    Más bien, parece que los problemas de conectividad con los peers upstream de MDS (269832) hicieron que esta ruta se notara más

  • Este incidente me hace pensar que es imposible evitar por completo la dependencia de la tecnología estadounidense
    La idea de “profundizar más en la tecnología de EE. UU.” suena irónica

    • No hay base para decir que este ataque ocurrió por tecnología estadounidense
      Es más probable que Venezuela use más tecnología china debido a las sanciones
      Aun así, sí estoy de acuerdo en que depender de la tecnología de un rival geopolítico es riesgoso
    • La mayor parte del mundo ya usa dispositivos de Google o Apple
      Ya casi no queda margen para aumentar aún más la dependencia
    • La tecnología requiere enormes costos de desarrollo y fabricación
      Si un país no tiene capacidades propias, al final tendrá que usar tecnología de otros
      Excluir a EE. UU. solo te deja con una ‘infraestructura sin EE. UU.’, pero con un valor económico parecido
      Un país como Venezuela simplemente terminaría cambiando a una dependencia tecnológica de otra potencia
      La geopolítica tecnológica, al final, se resume en la realidad de que “cuanto más pan tienes, menos mierda ajena comes

  • Me pregunto si la economía de OSRS (Old School RuneScape) se vio afectada por este ataque
    No parece que el internet se haya caído por completo

    • De hecho, una caída de los servidores de OSRS podría tener un impacto aún mayor en la economía venezolana
    • Hay un tuit que dice que sí hubo impacto
    • Me pregunto si alguien está en contacto con algún clan venezolano de OSRS

  • Me pregunto si hubo una anomalía BGP parecida en Navidad o Año Nuevo

    • Viendo el panel de Cloudflare, incluso el día del ataque en conjunto no parece un valor atípico

  • Para que aparezca en internet una ruta AS de longitud 15, todas las rutas mejores deben haber desaparecido
    Eso también parece haber ocurrido esta vez, y no parece estar relacionado con CANTV
    A veces las rutas BGP quedan ‘atascadas’ por errores al procesar retiros, y en esas situaciones pueden aparecer rutas largas

  • La conclusión no es del todo clara, pero esta investigación y análisis fueron muy interesantes
    Parece posible que alguien encuentre más piezas que conecten el caso

  • Creo que, como resultado de este incidente, el tráfico pudo haber pasado por Sparkle y eso habría permitido interceptarlo
    Pero no conozco lo suficiente la estructura de red como para asegurarlo

    • Si se descartan algunos paquetes de servicios como WhatsApp, Telegram o Gmail, eso puede provocar demoras en la comunicación
      En una situación de crisis, eso podría servir para bloquear medios alternativos de comunicación importantes
    • En realidad, parece que el tráfico de GlobeNet a Dayco solo pasó temporalmente por CANTV
      No está claro por qué se mencionó específicamente a Telecom Italia Sparkle