La importancia de los validadores de RPKI
11/07/2023
Por Jorge Cano – Arquitecto de Software Senior de LACNIC
Internet se ha convertido en una herramienta fundamental para nuestro día a día. Lo usamos para trabajar, para entretenimiento, para organizar nuestras vacaciones y muchas otras actividades. Pero algo que debimos haber aprendido desde el inicio en cuestiones de seguridad, es que no debemos confiar ciegamente en la información que nos llega. En Internet hay actores maliciosos que buscan engañarnos o embaucarnos con mensajes SPAM o Phishing haciéndose pasar por conocidos, familiares, instituciones bancarias o de servicios. Con el tiempo aprendimos a detectar e ignorar este tipo de amenazas, pero siempre hemos de estar pendiente para no caer en una de estas trampas.
Posiblemente se esté preguntando cuál es la relación entre el Phishing y los validadores de RPKI (Resource Public Key Infrastructure). Pues bien, la respuesta es que nuestros ruteadores creen ciegamente en los anuncios que le llegan a través de sus vecinos y pueden ser víctimas de información falsa. Ahora, esta información falsa no necesariamente se debe a actores maliciosos. También puede deberse a errores humanos que pueden causar daños a terceros por una mala configuración.
En esta categoría se encuentra uno de los casos más famosos que es el de Pakistan Telecom [1] en el 2008 que por un error generó grandes problemas a los usuarios de Youtube en esa región del planeta. Durante este incidente, el gobierno de Pakistán intentó bloquear el acceso a Youtube de sus ciudadanos, pero por error anunció el prefijo de Youtube como si les perteneciera. Esto causó que todos los clientes de la región vieran una ruta más corta hacia Youtube a través de los sistemas de Pakistan Telecom, saturándolos y causando grandes problemas no solo a ellos sino también a Google y sus usuarios de la región que querían utilizar los servicios de Youtube. Esto es conocido como secuestro de rutas de BGP, el protocolo que utilizan los enrutadores para comunicarse.
(Acceso libre, no requiere suscripción)
Pero no todos son errores, también se han registrado casos donde el secuestro de rutas es utilizado de forma maliciosa. En 2014, atacantes utilizaron esta técnica para desviar el tráfico a través de un proveedor de Internet canadiense por unos segundos, y lograron robar una importante cantidad en criptomonedas [2].
Es aquí donde radica la importancia de los validadores de RPKI, los cuales proveen de información a los enrutadores para poder detectar estos mensajes falsos, ya sea por errores de configuración o por malicia. Los validadores descargan de Internet la base de datos firmada, conocida como RPKI, la cual contiene la relación entre los bloques de direcciones IP y los ASN en los pueden ser anunciados de origen, y con esta información pueden detectar mensajes con rutas falsas o erróneas.
Existen varias implementaciones de validadores de RPKI compatibles con un gran número de enrutadores de software y comerciales. Entre las opciones de código abierto se encuentran: Routinator de NLnetLabs, OctoRPKI Validator de Cloudflare y FORT Validator de LACNIC y NIC México.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.