¿BGP sigue sin ser seguro?

 (isbgpsafeyet.com)
2 puntos por GN⁺ 27 일 전 | 1 comentarios | Compartir por WhatsApp
  • BGP (Border Gateway Protocol), el protocolo central de enrutamiento de Internet, se encarga de la selección de rutas, pero no tiene integrada una función de verificación de seguridad
  • Por eso, si se propaga información de ruta incorrecta, puede provocar secuestro de tráfico o fallas a gran escala, y para evitarlo se introdujo RPKI (Resource Public Key Infrastructure)
  • RPKI verifica criptográficamente la autenticidad de las rutas, por lo que puede marcar las rutas incorrectas como invalid y bloquearlas
  • Cloudflare rastrea y publica el estado de adopción de RPKI entre los principales ISP y proveedores de tránsito del mundo, y algunos operadores todavía siguen en estado unsafe
  • Solo cuando todos los principales operadores de red adopten por completo RPKI y el filtrado el enrutamiento de Internet podrá ser seguro

¿BGP sigue sin ser seguro?

  • Border Gateway Protocol (BGP) es el “servicio postal” de Internet: se encarga de elegir la mejor ruta entre los caminos disponibles para mover datos
  • Sin embargo, no tiene funciones de seguridad integradas, así que si se propaga información de ruta incorrecta, pueden producirse fallas masivas de Internet o secuestro de tráfico
  • Para resolverlo, al introducir un sistema de validación llamado Resource Public Key Infrastructure (RPKI) es posible verificar la autenticidad de las rutas
  • Varios ISP globales y proveedores de tránsito están adoptando RPKI, y Cloudflare hace seguimiento de ello y lo publica
  • El enrutamiento de Internet solo podrá ser seguro cuando todos los principales operadores de red adopten RPKI

Actualizaciones recientes

  • El 3 de febrero de 2026, el proveedor global de tránsito Tier-1 Sparkle (AS6762) rechazó prefijos RPKI-invalid
  • El 1 de octubre de 2025, el principal proveedor de tránsito de Eslovaquia Energotel (AS31117) comenzó a filtrar rutas RPKI-invalid
  • El 28 de agosto de 2025, el gran ISP canadiense Bell Canada (AS577) filtró rutas RPKI-invalid dentro de su red
  • El 22 de febrero de 2024, Deutsche Telekom (AS3320), uno de los ISP más grandes de Europa, aplicó RPKI Origin Validation en su red global
  • El 24 de enero de 2024, Verizon (AS701) en Estados Unidos completó el despliegue total de RPKI Origin Validation en toda su red

Estado de los principales operadores

  • Cloudflare publica el estado de firma y filtrado de RPKI de 31 operadores principales
  • Importantes proveedores de tránsito como Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo y Vodafone están todos en estado safe
  • ISP importantes como Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom y Bell Canada también ya completaron la firma y el filtrado
  • Algunos operadores (Google, IIJ, OCN, Vivacom, entre otros) solo lo han aplicado parcialmente y están clasificados como partially safe
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud y OVH, entre otros, siguen en estado unsafe

¿Qué es el secuestro de BGP?

  • Internet es una estructura de red distribuida compuesta por miles de sistemas autónomos (AS)
  • Cada nodo determina sus rutas únicamente con la información que recibe de los nodos conectados directamente a él
  • El secuestro de BGP es cuando un nodo malicioso propaga información de ruta falsa para interceptar tráfico
  • Si no hay un protocolo de seguridad, esa información errónea puede expandirse por todo el mundo y hacer que los datos se envíen por rutas incorrectas
  • RPKI permite invalidar y bloquear estas rutas erróneas mediante verificación criptográfica

El papel de RPKI

  • RPKI (Resource Public Key Infrastructure) es un marco de seguridad que vincula y verifica criptográficamente rutas y sistemas autónomos
  • Como es imposible verificar manualmente más de 800 mil rutas de Internet, RPKI automatiza esta tarea
  • Cuando RPKI está habilitado, aunque se propague información de ruta incorrecta, los routers pueden marcarla como invalid y rechazarla
  • En el blog de Cloudflare se explica en detalle cómo funciona RPKI y casos de despliegue

Por qué BGP no es seguro

  • De base, BGP no tiene un protocolo de seguridad integrado
  • Cada sistema autónomo debe realizar por su cuenta el filtrado de rutas incorrectas
  • Un route leak puede producirse por una mala configuración o una acción maliciosa, y puede dejar parte de Internet inaccesible
  • El secuestro de BGP puede desviar tráfico hacia otros sistemas, lo que posibilita robo de información o espionaje
  • Solo es posible un enrutamiento seguro si todos los AS anuncian únicamente rutas legítimas y aplican filtrado

Cómo probarlo

  • Cloudflare ofrece una función para probar si un ISP implementó BGP seguro
  • Se anuncia una ruta legítima pero marcada intencionalmente como invalid, y se comprueba si el usuario puede acceder al sitio web correspondiente
  • Si el acceso es posible, significa que ese ISP está aceptando rutas incorrectas

Esfuerzos adicionales de seguridad

  • Operadores de red y desarrolladores están avanzando en trabajos de estandarización para mejorar protocolos de enrutamiento inseguros
  • Cloudflare participa en la iniciativa MANRS (Mutually Agreed Norms for Routing Security)
    • MANRS es una comunidad global para fortalecer la infraestructura de enrutamiento, y sus miembros acuerdan implementar mecanismos de filtrado
  • Cuantos más operadores participen, más mejorará el nivel de seguridad del enrutamiento en todo Internet

Qué pueden hacer los usuarios

  • Pueden compartir la página isbgpsafeyet.com para difundir la necesidad de adoptar RPKI
  • Pueden pedir a su ISP o proveedor de hosting que implemente RPKI y se una a MANRS
  • Internet en su conjunto solo podrá ser seguro si los principales ISP adoptan RPKI
  • Cloudflare enfatiza el mensaje de que “cuando Internet se vuelve seguro, todos se benefician”

Lecturas relacionadas

1 comentarios

 
GN⁺ 27 일 전
Comentarios en Hacker News

  • RPKI no hace que BGP sea completamente seguro, sino solo más seguro
    El secuestro de BGP sigue siendo posible, y RPKI solo valida la propiedad de los prefijos, pero no protege la ruta en sí
    Un atacante todavía puede hacerse pasar por alguien en la ruta del AS de la víctima e interceptar el tráfico
    Se considera que BGPSec, propuesto para resolver esto, es difícil de desplegar en la práctica

    • Se propone Proof-Carrying Data como una forma de resolver los problemas de seguridad de BGP
      Cada mensaje incluiría una prueba criptográfica de que fue generado correctamente, y el tiempo de verificación se mantiene constante sin importar el tamaño de la red o la cantidad de saltos
      Como en BGP la latencia no es crítica y el protocolo es simple, este enfoque podría ser realista
      Para más detalles, ver la publicación de rot256.dev
      RPKI seguiría siendo necesario, pero BGPSec dejaría de hacer falta
    • Actualmente existe ASPA como intento de mitigar este problema
      Aún queda mucho camino por recorrer, pero ya participan instituciones importantes
      Enlace al borrador del IETF
    • RPKI permite validar la propiedad de los prefijos, pero la ruta sigue basándose en la confianza
      Da la impresión de que solo se reforzó la parte fácil de verificar
    • El estado ideal de “seguridad” es imposible
      Al final, todos los sistemas criptográficos dependen de la confianza en registros o instituciones operadas por personas
      RPKI es mejor que no tener nada, pero interpretar esto como “ya es suficientemente seguro” es peligroso

  • Viendo que los principales ISP de EE. UU. y operadores móviles soportan esta función, parece que la adopción es bastante alta
    Pero da curiosidad cuántos ISP harían falta para poder llamarlo “seguro” y si hay diferencias por región

    • Si todos los principales ISP de tránsito lo aplicaran, probablemente sería suficiente
      Si las rutas no RPKI no pueden pasar por tránsito, naturalmente perderían relevancia
    • En realidad hay 254 operadores marcados como ‘unsafe’, no solo 4
      Hay que pulsar ‘Show all’ para ver la lista completa
    • Uso Sky en el Reino Unido y aparece como ‘unsafe’
      Estaría bien tener una tabla que permita filtrar por país y tipo de operador
    • T-Mobile USA muestra al mismo tiempo éxito y fallo en los resultados de prueba, lo que resulta confuso
    • Operadores importantes como British Telecom, NTT Docomo, Vodafone Espana, Starlink y Rogers también aparecen como ‘unsafe’
      Decir que solo 31 son seguros pinta un panorama demasiado optimista

  • Es irónico que sea un sitio hecho por Cloudflare
    Podría ser uno de los actores con más probabilidades de romper Internet en 2026

    • Hoy en día es normal que las empresas hagan campañas para persuadir al público en la dirección que más les conviene
      Si RPKI les beneficia, lo promocionan como “tecnología esencial para la seguridad de Internet”,
      y si necesitan verificación de identidad, sacan el argumento de la “protección infantil”
      Este tipo de marketing se ha repetido en las industrias de vacunas, armas y tabaco

  • RPKI ya no es simplemente ROA
    El secuestro de BGP puede ocurrir también en puntos distintos del primer o último salto
    El sitio debería actualizarse para probar también prefijos ASPA-invalid

  • El ISP Free SAS aparece como ‘unsafe’, pero en las pruebas reales sale bien
    En valid.rpki.isbgpsafeyet.com procesa correctamente prefijos válidos,
    y en invalid.rpki.isbgpsafeyet.com también maneja correctamente los prefijos inválidos

  • El ISP aparece como unsafe en la tabla, pero en la prueba sale como seguro

    • La última actualización de la tabla es del 3 de febrero, así que parece que RPKI se aplicó después de eso

  • El gráfico donde el atacante enruta el tráfico a un sitio malicioso es un poco engañoso
    Si el certificado SSL no es válido, el navegador lo bloquea, así que el daño real es limitado
    Aun así, sigue pudiendo usarse para ataques de denegación de servicio (DoS)

    • Un atacante que controle el destino también podría obtener un certificado SSL válido con Let’s Encrypt o algo similar

  • RPKI y ASPA hacen que todo sea más seguro frente a otras redes, pero aumentan la dependencia del registro
    Si un país es sancionado y se le bloquea el acceso al registro, ya no podría actualizar sus registros

    • En realidad, los registros siempre han podido revocar asignaciones numéricas
      RPKI solo hizo ese poder más fuerte
      Al final estamos haciendo networking bajo aprobación de la IANA,
      y para salir de eso habría que rediseñar por completo el sistema de asignación de ASN e IP

  • BGP de verdad será seguro cuando lo abandonemos y usemos SCION
    Ver artículo de Wikipedia sobre SCION

    • Pero SCION es visto como snake oil entre operadores de red
      Ha perdido credibilidad por su enfoque centrado en un solo proveedor, falta de soporte ASIC, blockchain y greenwashing
      En Suiza se está probando, pero en la industria en general no se toma en serio
    • Para que de verdad sea seguro, habría que ir hacia una nueva arquitectura de enrutamiento como Yggdrasil
      Ver proyecto Yggdrasil
    • Da curiosidad por qué esta transición todavía no ha ocurrido

  • RPKI solo hace que BGP sea un poco más seguro, pero no es una solución completa
    Evita algunos secuestros, pero sigue siendo apenas un parche temporal sobre un sistema basado en confianza