Durante la pasada semana se produjo un redireccionamiento inusual del tráfico online a través de Rusia, para varios de los gigantes de internet occidentales. Según varias empresas de análisis del tráfico web, incluyendo a la canadiense BGPstream o a BGPmon, –división de Cisco– el pasado miércoles se sucedieron todo un torrente de eventos sospechosos con un denominador común: Rostelecom, la teleco estatal de Rusia.
Según avanza ZDNet, este tráfico afectó a más de 200 de las grandes redes de distribución de contenidos –conocidas como CDNs– y proveedores de almacenamiento en la nube. En total, las rutas de tráfico online afectadas superan las 8.800. Entre los afectados se encuentran nombres como Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean y otros muchos.
Secuestro BGP: el camino de la información, desviado antes de llegar a ti
El evento en cuestión encaja dentro de lo que se conoce como secuestro IP o BGP, que significa Border Gateway Protocol o Protocolo de Puerta de Enlace de Frontera. La modificación de los registros IP implica un enrutado alternativo, y es capaz de alterar el recorrido que realizan los datos en internet de forma global.
Este sistema permite a nodos de la red, como en este caso serían los de Rostelecom en Rusia, interceptar los datos que están en transmisión. No obstante, si estos se encuentran cifrados mediante el protocolo https, como el que puedes ver en la barra de direcciones en esta misma web, serían inaccesibles. La mala noticia es que no todo internet lo está, y para el caso desprotegido sería todavía susceptible de ataques de intermediario, conocidos como man-in-the-middle.
Y aún en los casos cifrados, un compromiso de las rutas aceptadas como seguras puede suponer que el contenido en transmisión sea almacenado. De esta forma, sería posible almacenar grandes cantidades de información cifrada, a la espera de los medios suficientes para descifrarla más adelante.
No es, ni está cerca de serlo, la primera vez que sucede un ataque de estas características. Ya el pasado verano vimos como una buena porción del tráfico europeo sobre un centro de datos en Suiza, hacía una excursión no planificada a través de China Telecom, la empresa de telecomunicaciones más grande del gigante asiático y, de nuevo, estatal.
Tanto China Telecom como Rostelecom son ya viejos conocidos por este tipo de errores en el enrutado BGP. Según BGPMon, la división de análisis BGP de Cisco, otros eventos previos que catalogaba de "curiosos", al afectar efusivamente a empresas e instituciones financiaras como MasterCard, Visa, Fortis y otras.
Existen protocolos de enrutado más modernos, como el que hace una validación de la ruta –Route Origin Validation, ROV–, mitigando buena parte de las vulnerabilidades del proceder del estándar BGP más extendido. No obstante, como suele ser habitual en este tipo de despliegues de red, la adopción es lenta.