El Protocolo BGP (Border Gateway Protocol) es la columna vertebral de Internet, responsable de dirigir el tráfico entre los distintos sistemas autónomos (AS) lo que es igual a cualquier sitio en Internet. Aunque los ataques de secuestro de BGP son una amenaza conocida, una nueva forma de ataque, conocida como “BGP Vortex”, representa un desafío particularmente insidioso para la estabilidad de la red. Este ataque, presentado por primera vez en la conferencia USENIX Security en agosto 2025, explota extensiones estándar del BGP para inducir una denegación de servicio (DoS) por sobrecarga de mensajes de actualización.
A diferencia de los secuestros tradicionales que redirigen el tráfico, el BGP Vortex no manipula las rutas para interceptar datos, sino que las desestabiliza para generar una tormenta de mensajes (de allí toma su nombre Vortex) que colapsa la capa de control de los enrutadores. Lo que lo hace particularmente peligroso es que utiliza mensajes de BGP completamente legítimos y estándares, lo que le permite eludir las defensas de seguridad actuales como BGPSEC y RPKI.
Sobre el ataque BGP Vortex
Es un ataque que ocasiona un fenómeno en el que sistemas autónomos interconectados quedan atrapados en un estado de oscilaciones de ruta persistentes. Estas oscilaciones no solo sobrecargan los enrutadores de los sistemas autónomos en el vórtice, sino que también provocan una oleada de anuncios de ruta que se difunde por Internet y posiblemente sobrecargue otros enrutadores de sistemas autónomos que no forman parte del vórtice.
(Acceso libre, no requiere suscripción)
Mecanismo del ataque
El BGP Vortex se basa en la manipulación de dos comunidades BGP ampliamente utilizadas para la ingeniería de tráfico:
“Lower Local Pref Below Peer” (Reducir Preferencia Local por debajo del Par): Esta comunidad, al ser adjuntada a un anuncio de ruta, instruye a un par (peer) BGP a reducir la preferencia local de dicha ruta por debajo de la preferencia que tendría la misma ruta recibida de otros pares.
“Selective NOPEER”: Esta comunidad indica a un sistema autónomo que no anuncie una ruta recibida a ciertos pares.
El ataque aprovecha una configuración particular entre tres sistemas autónomos (AS) vulnerables que son pares entre sí y que utilizan estas comunidades. El atacante, mediante el envío de tres mensajes de actualización específicos (mensajes BGP Update), induce a estos AS a entrar en un ciclo vicioso de oscilaciones de enrutamiento.
Activación de la oscilación: Un atacante envía un mensaje de actualización a un AS vulnerable. Este mensaje, que contiene las comunidades maliciosas, causa una cascada de anuncios y retiradas de rutas entre los tres AS.
Creación del bucle: La configuración y las políticas de enrutamiento de los tres AS reaccionan a los mensajes de manera que se crea un bucle infinito. La ruta se anuncia y retira repetidamente entre los tres pares.
Generación de la tormenta de actualizaciones: La oscilación se amplifica a medida que se propaga por las “ramas” de la red. Cada vez que la ruta cambia dentro del bucle, se genera una nueva oleada de mensajes BGP UPDATE que se propagan a miles de redes en los conos de clientes de los AS afectados. Esto puede generar miles de actualizaciones por segundo.
Impacto y consecuencias
La razón por la cual este ataque puede ser tan grave es que el mismo no utiliza nada fuera de las reglas y paquetes de BGP, no existen paquetes malformados ni maliciosos, es tan solo una técnica de manipulación de Comunidades BGP + Mensajes BGP Updates.
Mecanismo del ataque
El BGP Vortex se basa en la manipulación de dos comunidades BGP ampliamente utilizadas para la ingeniería de tráfico:
“Lower Local Pref Below Peer” (Reducir Preferencia Local por debajo del Par): Esta comunidad, al ser adjuntada a un anuncio de ruta, instruye a un par (peer) BGP a reducir la preferencia local de dicha ruta por debajo de la preferencia que tendría la misma ruta recibida de otros pares.
“Selective NOPEER”: Esta comunidad indica a un sistema autónomo que no anuncie una ruta recibida a ciertos pares.
El ataque aprovecha una configuración particular entre tres sistemas autónomos (AS) vulnerables que son pares entre sí y que utilizan estas comunidades. El atacante, mediante el envío de tres mensajes de actualización específicos (mensajes BGP Update), induce a estos AS a entrar en un ciclo vicioso de oscilaciones de enrutamiento.
Activación de la oscilación: Un atacante envía un mensaje de actualización a un AS vulnerable. Este mensaje, que contiene las comunidades maliciosas, causa una cascada de anuncios y retiradas de rutas entre los tres AS.
Creación del bucle: La configuración y las políticas de enrutamiento de los tres AS reaccionan a los mensajes de manera que se crea un bucle infinito. La ruta se anuncia y retira repetidamente entre los tres pares.
Generación de la tormenta de actualizaciones: La oscilación se amplifica a medida que se propaga por las “ramas” de la red. Cada vez que la ruta cambia dentro del bucle, se genera una nueva oleada de mensajes BGP UPDATE que se propagan a miles de redes en los conos de clientes de los AS afectados. Esto puede generar miles de actualizaciones por segundo.
Impacto y consecuencias
La razón por la cual este ataque puede ser tan grave es que el mismo no utiliza nada fuera de las reglas y paquetes de BGP, no existen paquetes malformados ni maliciosos, es tan solo una técnica de manipulación de Comunidades BGP + Mensajes BGP Updates.
El BGP Vortex puede causar graves interrupciones en Internet:
Sobrecarga de enrutadores: El torrente de mensajes BGP UPDATE satura la capa de control de los enrutadores, que deben procesar cada anuncio y retirada (update y withdraw). Esto consume una gran cantidad de CPU y recursos de memoria, provocando una ralentización generalizada.
Averías en la capa de datos: La sobrecarga en la capa de control puede hacer que las tablas de reenvío de los enrutadores queden en estados inconsistentes. Esto puede causar bucles de reenvío intermitentes, lo que a su vez provoca congestión de enlaces y pérdida de paquetes, afectando gravemente la conectividad.
Inestabilidad de Internet: El efecto dominó de la tormenta de actualizaciones puede extenderse más allá de las redes objetivo-iniciales. Un solo BGP Vortex podría desestabilizar grandes segmentos de la infraestructura de Internet, afectando a numerosos usuarios y servicios.
Flujo del ataque
El escenario ilustra cómo la combinación de comunidades “Lower Local Pref” y “Selective NOPEER” puede provocar una oscilación persistente de rutas entre tres sistemas autónomos (AS 1, AS 2, AS 3) conectados en una topología triangular. El atacante (AS 4, cliente multihomed) utiliza estas comunidades para manipular la selección y propagación de rutas.
Etapa 1. Inyección inicial del prefijo por el cliente (AS 4)
El AS 4 (cliente multihomed) anuncia el prefijo 2001:db8::/32 a sus tres proveedores (AS 1, AS 2 y AS 3).
Añade las comunidades: 4:90 → instruye a cada proveedor bajar su LocalPref interno a 90 (lower local preference). 65500:x → Selective NOPEER, para restringir la redistribución entre pares: 65500:1 → AS 2 no anuncia a AS 1. 65500:2 → AS 3 no anuncia a AS 2. 65500:3 → AS 1 no anuncia a AS 3.
Con estas etiquetas, el atacante prepara el terreno para un flujo circular de anuncios.
Etapa 2. Redistribución selectiva de rutas
Cada ISP instala la ruta del cliente (LP = 90) y la reanuncia a sus pares según las restricciones de Selective NOPEER. Se crea una propagación parcial, no simétrica: AS 1 → AS 2, pero no → AS 3. AS 2 → AS 3, pero no → AS 1. AS 3 → AS 1, pero no → AS 2.
Etapa 3. Re-selección de rutas y retiro de anuncios
Los tres AS comienzan a comparar rutas internas y externas: AS 1 recibe el prefijo desde AS 3, lo instala con mejor Local preference (100) y retira el aprendido desde AS 4. Por política peer-to-peer, AS 1 no reanuncia la nueva ruta a AS 2. Este cambio de mejor ruta genera la primera oscilación: AS 2 pierde la ruta vía AS 1 y debe elegir otra alternativa (vía AS 4).
Etapa 4. Formación del vórtice (loop de actualizaciones)
AS 2 instala la ruta recibida de AS 4 y la anuncia a AS 3.
AS 3, al recibirla, la considera más preferida, la instala y retira la anterior hacia AS 1.
AS 1 detecta la pérdida del anuncio de AS 3 y reinstala la versión de AS 4.
El ciclo vuelve a empezar.
Este intercambio infinito de mensajes update/withdraw genera el vórtice BGP descrito anteriormente. El fenómeno se propaga rápidamente por la topología, especialmente en entornos densamente conectados, saturando las tablas y los buffers de procesamiento de control.
Los mecanismos de seguridad existentes contra ataques BGP están diseñados para validar la autenticidad y autorización de los anuncios de ruta, no para detectar las oscilaciones causadas por políticas legítimas.
RPKI/ROV: La Infraestructura de Clave Pública de Recursos y la Validación del Origen de la Ruta no protegen contra este ataque, ya que el prefijo anunciado por el atacante es válido y los mensajes no están falsificados.
BGPSEC: Este protocolo de seguridad tampoco es efectivo, ya que los mensajes están firmados y autorizados correctamente, a pesar de que su combinación crea el efecto dañino.
Mi configuración BGP es muy sencilla, no hablo comunidades BGP, ¿puedo ser afectado?
Sí, no de manera directa pero el ataque BGP Vortex puede afectar indirectamente a enrutadores que no utilicen ni estén habilitados para comunidades BGP, o que no soporten específicamente las comunidades Lower Local Pref Below Peer y Selective NOPEER. El impacto se produce por la propagación de la inundación de mensajes de actualización BGP, no por la manipulación de las comunidades en sí mismas.
¿Si mi router recibe solo la ruta por defecto de mis upstream providers estoy a salvo?
La respuesta es depende:
Caso 1: Si tu proveedor es quien tiene el filtro saliente y solo te anuncia la ruta por defecto entonces si estás a salvo.
Caso 2: Si tu filtras todo lo que te envía tu proveedor y luego solo te quedas con la ruta por defecto entonces no estás a salvo porque igualmente tu routers recibe toda la inundación de BGP Updates
El rol de los IXP en los cambios de la topología de Internet y el ataque BGP Vortex
En el pasado, los puntos de intercambio de tráfico (IXPs) seguían una topología bastante jerárquica: los ISPs se conectaban principalmente a proveedores de tránsito, y las relaciones de peering lateral eran relativamente pocas. Sin embargo, con la rápida expansión de IXPs regionales y globales, esa estructura se ha “aplanado”. Cada ISP ahora se conecta a un número mucho mayor de vecinos, lo que incrementa la densidad de triángulos de peering (es decir, grupos de tres AS que se interconectan directamente). Este fenómeno fomenta también el multihoming: AS más pequeños pueden estar conectados a tres o más upstreams o IXPs, convirtiéndose en “clientes-gatillo” potenciales para inestabilidades del plano de control, como el ataque BGP Vortex. En ese sentido, ¿puede el auge de los IXPs estar creando el caldo de cultivo para que este tipo de daño se propague más rápido y con mayor alcance?
¿Qué estrategia de mitigación tengo hoy en día?
Dado que el BGP Vortex explota una debilidad en el uso de extensiones estándar, las soluciones requieren una cuidadosa consideración de las compensaciones entre seguridad y flexibilidad de enrutamiento.
Desactivar las comunidades vulnerables: La medida más efectiva es que los operadores de red deshabiliten las comunidades “Lower Local Pref Below Peer” y “Selective NOPEER”. Si bien esto elimina la vulnerabilidad, también sacrifica la flexibilidad en la ingeniería de tráfico que estas herramientas proporcionan.
Ajustar los temporizadores BGP: La modificación de mecanismos como el temporizador Minimum Route Advertisement Interval (MRAI) podría ralentizar el flujo de actualizaciones. Sin embargo, esto también retrasaría la convergencia de la red en condiciones normales, lo que afecta el rendimiento general.
Monitoreo y detección: Implementar una monitorización exhaustiva del uso de la CPU del plano de control y de la tasa de mensajes BGP UPDATE puede ayudar a los operadores a detectar y responder rápidamente a un ataque en curso.
Adoptar arquitecturas futuras: La investigación del BGP Vortex subraya la necesidad de arquitecturas de enrutamiento más seguras y resilientes. A largo plazo, la adopción de tecnologías como SCION, una futura arquitectura de Internet podría ofrecer inmunidad fundamental a este tipo de ataques.
Conclusión
El BGP Vortex es un recordatorio de que la seguridad en la infraestructura de Internet debe ser un proceso continuo. Al explotar una combinación de extensiones legítimas, este ataque demuestra que la confiabilidad del BGP puede ser comprometida de maneras sutiles y difíciles de detectar. La respuesta de la comunidad de Internet ya sea a través de la desactivación de comunidades problemáticas o la búsqueda de arquitecturas más seguras, será crucial para defenderse de esta y futuras amenazas.
