Los incidentes de ruteo como puerta de ingreso para los ciberataques

Por un lado, tenemos a los responsables de la actividad ilícita en línea, que según el informe del Foro Económico Mundial alcanzará un costo de 6 billones de USD para 2021. Esta actividad es llevada a cabo por una enorme diversidad de grupos, que actúan con mayores o menores grados de escala y sofisticación. En su conjunto la actividad que realizan es enorme, y para darse una idea solo basta con buscar en nuestras bandejas de correos no deseados de nuestras casillas personales de email para ver cuántos correos maliciosos intentan realizar estafas de forma masiva.

Por otra parte, muchos gobiernos intentan censurar y controlar la actividad en línea. Gran parte de los nuevos usuarios de Internet, los que comenzaron a conectarse recientemente o los que se conectarán por primera vez en un futuro cercano, viven en sociedades altamente censuradas. Diversos estudios han comprobado las acciones institucionales que tienen el fin de provocar bloqueos a cierto tipo de contenido en diversos momentos. OONI (Open Observatory of Network Interference) es un proyecto cuyo objetivo es descentralizar los intentos de transparentar los esfuerzos de censura en Internet alrededor del mundo, que partir de herramientas de software libre detectan estos bloqueos y generan una serie de informes en los cuales exponen cuando ciertos usuarios de Internet están siendo víctimas de censura.

En síntesis, existen ataques de espionaje, censura, o fraudes, por mencionar algunos. Pero, ¿Cómo un atacante puede valerse de explotar la capa de ruteo para lograr estos objetivos? ¿Existe un riesgo real?

Como ha ocurrido con la mayoría de los protocolos de Internet, BGP fue ideado para un escenario muy distinto al actual, a finales de los años 80, cuando solo era necesario conectar un puñado de redes. En esos momentos, la seguridad no era un principio central a tener en cuenta, por lo que el protocolo se basó fuertemente en un juego de confianza entre las partes. Hoy en día la realidad es otra. Con casi 100.000 sistemas autónomos registrados, ya no puede asumirse que todos sus participantes son confiables.

Cuando ingresamos a un sitio web, por ejemplo, ambos extremos (nuestro dispositivo y el servidor que aloja el portal) poseen una dirección IP que permite identificarlos. Así, los paquetes de datos tienen un origen y un destino. Para llegar de un extremo al otro, los paquetes viajarán por distintas redes y sistemas autónomos intermedios, rutas que se generan a partir de anuncios del protocolo BGP.

Cuando un sistema autónomo, ya sea por malicia o por error realiza un anuncio incorrecto, puede generar que el tránsito se desvíe hacia ellos. Una vez que el tráfico se logra redireccionar de esta forma, es posible lograr ataques mencionados previamente.

Imagen 1: Distintos ciberataques que pueden resultar a partir de un incidente de ruteo

Si bien cada vez hay mayores esfuerzos de parte de los operadores de red implementando filtrado y RPKI, e iniciativas de apoyo como el Proyecto FORT de LACNIC, aún siguen ocurriendo incidentes significativos a diario. Incluso algunos logran un impacto contundente.

El 6 de junio de 2019, la compañía suiza Safe Host (AS21217) provocó una fuga de más de 70.000 rutas hacia China Telecom (AS4134), quien a su vez anunció estas rutas hacia el resto de internet. Esto generó que gran parte del tráfico de operadores móviles europeos sea desviado hacia la red de China Telecom.

El 1 de abril de 2020, el mayor ISP ruso, Rostelecom (AS12389) anunció prefijos de grandes jugadores de internet como Akamai, Amazon AWS, Cloudflare, Digital Ocean, entre otros. Este secuestro de rutas fue ejecutado durante aproximadamente una hora y afectó durante algunos minutos a operadores importantes como Cogent (AS174) y Level3 (AS3356) que a su vez propagaron estos anuncios al resto del mundo. Esto generó inconvenientes en un número importante de ISPs.

Imagen 2: Evolución de los incidentes de ruteo en los últimos años (fuente: https://bgpstream.com/)

Para conocer más casos de incidentes que han causado impacto en la red, se puede consultar el reporte diagnóstico del proyecto FORT, que además analiza incidentes de ruteo y secuestros de ruta en esta región durante los últimos años y explica con más detalle los distintos tipos de incidentes posibles en el protocolo BGP y como pueden provocarse.

Además, se puede consultar la herramienta de monitoreo FORT, que presenta, de manera simplificada, datos sobre el estado de la seguridad de ruteo en América Latina y el Caribe y su impacto sobre los usuarios finales de Internet. Por ejemplo, el mismo indica que en los últimos 3 meses han ocurrido 5 secuestros de ruta sobre la infraestructura crítica.

Mucho ha ocurrido desde aquel incidente de ruteo del AS7007 en 1997, hasta el día de hoy. Las cifras generadas por ataques y problemas de enrutamiento se vuelven incalculables en la práctica, cuantas de horas de portales y servicios de internet sin poder ser accesibles, el dinero perdido por fraudes exitosos como el hijack de Route53 de Amazon DNS, o la inmensa cantidad de tráfico de internet interceptado por sistemas autónomos desconocidos. El ruteo ya no puede depender de la buena voluntad de sus casi 100.000 sistemas autónomos, y la infraestructura ha madurado con el desarrollo herramientas y buenas prácticas necesarias para mitigar este tipo de incidentes.

Si bien la mayor cantidad de esfuerzos parecen centrarse en la seguridad de las capas superiores de Internet, y es cierto que medidas de protección implementadas a ese nivel, como el cifrado extremo a extremo reducen el impacto de los ataques al sistema de enrutamiento de la red, no se podrá asegurar que contamos con un Internet seguro y confiable si los operadores de red no continúan su trabajo para fortalecer el sistema de ruteo.