Cada vez estamos más conectados y la convergencia
entre nuestra vida digital y analógica aumenta cada día. Este fenómeno, que de
por sí ya incrementa con una velocidad considerable, se vio aún más acelerado
con la crisis provocada por la pandemia del COVID-19. Una consecuencia natural
de contar con más dispositivos conectados y personas dependiendo de esas
conexiones, es el aumento de actores que realicen acciones malintencionadas en
la red, y con ello el incremento de los intentos de ciberataques.
Las noticias relacionadas incidentes y ataques en
la red ya forman parte de los portales informativos convencionales hace tiempo,
pero por lo general, estas noticias se centran en eventos que ocurren en las
capas superiores de Internet dejando de lado “sus cañerías”, es
decir, la capa de ruteo. Cuando aún queda mucho camino por recorrer para poder
asegurar que los incidentes de ruteo no sean significativos.
Aunque el público general desconoce que tan
expuesta está la red en este nivel, la comunidad técnica lleva tiempo abordando
este desafío mediante el desarrollo y despliegue de distintas soluciones.
(Acceso libre, no requiere suscripción)
LACNIC en conjunto con NIC.MX han desarrollado el proyecto FORT, que lleva a cabo su campaña de despliegue de RPKI en América Latina
y el Caribe, para aumentar la seguridad y resiliencia de los sistemas de
enrutamiento. Otras organizaciones como Internet Society, abordan este problema
desde su iniciativa MANRS, que provee soluciones para reducir las principales
amenazas de ruteo. Su objetivo es dar soporte tanto a operadores de red (ISP)
como a puntos de intercambio de Internet (IXP). Esta problemática incluso ha
formado parte de la agenda del Foro Económico Mundial, que ha tratado este tema
generando un reporte con Principios de Prevención del Cibercrimen para los Proveedores de Internet. El cuarto de estos principios que enuncia es “Apuntalar la
seguridad del ruteo y señalización para reforzar una defensa efectiva contra
los ataques”, en el cual se recomiendan las acciones propuestas por la
iniciativa de MANRS. Por otra parte, operadores de red como Cloudflare, uno de
los proveedores de infraestructura en la nube más grandes a nivel global, ya
hace años que realiza campañas de promoción y despliegue de medidas como RPKI.
Recientemente ha expresado que ya es hora que los operadores de red eviten que los
hijacks y leaks tengan un impacto. Ya es hora de hacer que BGP sea seguro y no hay excusas.
¿Por qué todas estas organizaciones están tan
enfocadas en asegurar la capa de ruteo de internet? ¿Cuáles son las
consecuencias de no atender su seguridad?
En primer lugar, es clave conocer cuáles son los
actores que tienen intereses en provocar estos ciberataques, que no
necesariamente sean directos al enrutamiento de internet, para entender cuáles
son sus principales objetivos y cómo las vulnerabilidades en la capa de ruteo
son una posible puerta para lograrlos.
LACNIC en conjunto con NIC.MX han desarrollado el proyecto FORT, que lleva a cabo su campaña de despliegue de RPKI en América Latina
y el Caribe, para aumentar la seguridad y resiliencia de los sistemas de
enrutamiento. Otras organizaciones como Internet Society, abordan este problema
desde su iniciativa MANRS, que provee soluciones para reducir las principales
amenazas de ruteo. Su objetivo es dar soporte tanto a operadores de red (ISP)
como a puntos de intercambio de Internet (IXP). Esta problemática incluso ha
formado parte de la agenda del Foro Económico Mundial, que ha tratado este tema
generando un reporte con Principios de Prevención del Cibercrimen para los Proveedores de Internet. El cuarto de estos principios que enuncia es “Apuntalar la
seguridad del ruteo y señalización para reforzar una defensa efectiva contra
los ataques”, en el cual se recomiendan las acciones propuestas por la
iniciativa de MANRS. Por otra parte, operadores de red como Cloudflare, uno de
los proveedores de infraestructura en la nube más grandes a nivel global, ya
hace años que realiza campañas de promoción y despliegue de medidas como RPKI.
Recientemente ha expresado que ya es hora que los operadores de red eviten que los
hijacks y leaks tengan un impacto. Ya es hora de hacer que BGP sea seguro y no hay excusas.
¿Por qué todas estas organizaciones están tan
enfocadas en asegurar la capa de ruteo de internet? ¿Cuáles son las
consecuencias de no atender su seguridad?
En primer lugar, es clave conocer cuáles son los
actores que tienen intereses en provocar estos ciberataques, que no
necesariamente sean directos al enrutamiento de internet, para entender cuáles
son sus principales objetivos y cómo las vulnerabilidades en la capa de ruteo
son una posible puerta para lograrlos.
Por un lado, tenemos a los responsables de la
actividad ilícita en línea, que según el informe del Foro Económico Mundial
alcanzará un costo de 6 billones de USD para 2021. Esta actividad es llevada a
cabo por una enorme diversidad de grupos, que actúan con mayores o menores
grados de escala y sofisticación. En su conjunto la actividad que realizan es
enorme, y para darse una idea solo basta con buscar en nuestras bandejas de
correos no deseados de nuestras casillas personales de email para ver cuántos
correos maliciosos intentan realizar estafas de forma masiva.
Por otra parte, muchos gobiernos intentan censurar y controlar la actividad en línea. Gran parte de los nuevos usuarios de Internet, los que comenzaron a conectarse recientemente o los que se conectarán por primera vez en un futuro cercano, viven en sociedades altamente censuradas. Diversos estudios han comprobado las acciones institucionales que tienen el fin de provocar bloqueos a cierto tipo de contenido en diversos momentos. OONI (Open Observatory of Network Interference) es un proyecto cuyo objetivo es descentralizar los intentos de transparentar los esfuerzos de censura en Internet alrededor del mundo, que partir de herramientas de software libre detectan estos bloqueos y generan una serie de informes en los cuales exponen cuando ciertos usuarios de Internet están siendo víctimas de censura.
En síntesis, existen ataques de espionaje,
censura, o fraudes, por mencionar algunos. Pero, ¿Cómo un atacante puede
valerse de explotar la capa de ruteo para lograr estos objetivos? ¿Existe un
riesgo real?
Como ha ocurrido con la mayoría de los protocolos
de Internet, BGP fue ideado para un escenario muy distinto al actual, a finales
de los años 80, cuando solo era necesario conectar un puñado de redes. En esos
momentos, la seguridad no era un principio central a tener en cuenta, por lo
que el protocolo se basó fuertemente en un juego de confianza entre las partes.
Hoy en día la realidad es otra. Con casi 100.000 sistemas
autónomos registrados, ya no puede
asumirse que todos sus participantes son confiables.
Cuando ingresamos a un sitio web, por ejemplo,
ambos extremos (nuestro dispositivo y el servidor que aloja el portal) poseen
una dirección IP que permite identificarlos. Así, los paquetes de datos tienen
un origen y un destino. Para llegar de un extremo al otro, los paquetes
viajarán por distintas redes y sistemas autónomos intermedios, rutas que se
generan a partir de anuncios del protocolo BGP.
Cuando un sistema autónomo, ya sea por malicia o
por error realiza un anuncio incorrecto, puede generar que el tránsito se
desvíe hacia ellos. Una vez que el tráfico se logra redireccionar de esta
forma, es posible lograr ataques mencionados previamente.
Imagen 1: Distintos ciberataques que pueden resultar
a partir de un incidente de ruteo
Si bien cada vez hay mayores esfuerzos de parte
de los operadores de red implementando filtrado y RPKI, e iniciativas de apoyo
como el Proyecto FORT de LACNIC, aún siguen ocurriendo incidentes significativos
a diario. Incluso algunos logran un impacto contundente.
Imagen 2: Evolución de los incidentes de ruteo en
los últimos años (fuente: https://bgpstream.com/)
Para conocer más casos de incidentes que han
causado impacto en la red, se puede consultar el reporte diagnóstico del proyecto FORT, que además analiza incidentes de ruteo y secuestros de ruta en esta
región durante los últimos años y explica con más detalle los distintos tipos
de incidentes posibles en el protocolo BGP y como pueden provocarse.
Además, se puede consultar la herramienta de monitoreo FORT, que presenta, de manera simplificada, datos sobre el estado de la
seguridad de ruteo en América Latina y el Caribe y su impacto sobre los
usuarios finales de Internet. Por ejemplo, el mismo indica que en los últimos 3
meses han ocurrido 5 secuestros de ruta sobre la infraestructura crítica.
Mucho ha ocurrido desde aquel incidente de ruteo
del AS7007 en 1997, hasta el día de hoy. Las cifras generadas por ataques y
problemas de enrutamiento se vuelven incalculables en la práctica, cuantas de
horas de portales y servicios de internet sin poder ser accesibles, el dinero
perdido por fraudes exitosos como el hijack de Route53 de Amazon DNS, o la
inmensa cantidad de tráfico de internet interceptado por sistemas autónomos
desconocidos. El ruteo ya no puede depender de la buena voluntad de sus casi
100.000 sistemas autónomos, y la infraestructura ha madurado con el desarrollo
herramientas y buenas prácticas necesarias para mitigar este tipo de
incidentes.
Si bien la mayor cantidad de esfuerzos parecen
centrarse en la seguridad de las capas superiores de Internet, y es cierto que
medidas de protección implementadas a ese nivel, como el cifrado extremo a
extremo reducen el impacto de los ataques al sistema de enrutamiento de la red,
no se podrá asegurar que contamos con un Internet seguro y confiable si los
operadores de red no continúan su trabajo para fortalecer el sistema de ruteo.
