Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
agosto
(Total:
46
)
- La última actualización de Windows 11 mejora el re...
- Pavel Durov, CEO de Telegram, paga una fianza de 5...
- Secuestro de BGP
- GameNGen: IA que consigue simular el DOOM en tiemp...
- The Spectrum, una recreación moderna del ZX Spectr...
- Grabar la pantalla de Windows con OBS Studio
- Pavel Durov, el controvertido multimillonario detr...
- Un hombre ha sido condenado a cadena perpetua por ...
- Vulnerabilidad RCE en Jenkins, explotado en ataque...
- Múltiples vulnerabilidades en Apache HTTPd 2.4
- Ya disponible Google Chrome 128 que soluciona la n...
- La Raspberry 5 reduce su precio a menos de 60 euro...
- Vulnerabilidades críticas en el sistema de segurid...
- Ver vídeos de YouTube en la pantalla del coche con...
- Vulnerabilidad de Ejecución Remota de Código en IP...
- Un «desastre a punto de ocurrir»: Planta de gestió...
- Google presenta los nuevos teléfonos Pixel 9, con ...
- Distros Linux inmutables
- Vulnerabilidades en banda 5G permite espiar a usua...
- Vulnerabilidades críticas en OpenVPN 2.x
- OpenAI se acerca a la bancarrota
- Rusia legaliza el minado de criptomonedas
- GDB: Un debugger para programas en Linux
- Maduro bloquea X (Twitter) en Venezuela durante 10...
- La Raspberry Pi Pico 2 llega con más potencia, el ...
- uBlock Origin dejará de funcionar en Google Chrome...
- La agencia de datos irlandesa denuncia a Elon Musk...
- Vulnerabilidad 0.0.0.0: el fallo de seguridad que ...
- Códigos secretos que activan funciones ocultas en ...
- Mexican Mafia cumple amenaza; filtran 162,000 dato...
- Ataque DDoS récord: 419 TB de tráfico malicioso en...
- El coste de una filtración de datos
- Donald Trump y TikTok: ¿cómo pasó de odiar la red ...
- Miles de cámaras y routers WiFi de Ubiquiti son vu...
- Un agujero de seguridad deja al descubierto los da...
- Un ciberataque a los hospitales de Granada ha filt...
- Un juez estadounidense determina que Google viola ...
- Deep-TEMPEST: uso del IA para espiar las emanacion...
- Intel despedirá a más de 15.000 empleados, el 15 %...
- Javier Milei quiere usar la IA para patrullar la w...
- Víctima de violencia de género descubre una app de...
- Intel amplía dos años la garantía de los procesado...
- Nuevo Phone (2a) Plus: mejor diseño, más potencia ...
- Récord de75 millones de dólares pagados de rescate...
- Filtran datos de atletas israelíes que compiten en...
- WINE vs Proton
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Secuestro de BGP
El secuestro de BGP se produce cuando los atacantes redirigen con fines maliciosos el tráfico de Internet. Los atacantes logran esto al declarar de forma falsa que son los propietarios de grupos de direcciones IP, llamados prefijos IP, de los que en realidad no son propietarios, ni controlan ni enrutan. Un secuestro de BGP es muy parecido a como si alguien cambiara todas las señales de un tramo de autovía y redirigiera el tráfico de automóviles hacia las salidas incorrectas.
Se han producido muchos secuestros deliberados de BGP en el mundo real. Por ejemplo, en abril de 2018, un proveedor ruso anunció una serie de prefijos IP (grupos de direcciones IP) que, en realidad, pertenecían a servidores DNS de Route53 Amazon. En resumen, el resultado final fue que a los usuarios que intentaban iniciar sesión en un sitio de criptomonedas se les redirigió a una versión falsa del sitio web controlada por los delincuentes.
BGP son las siglas de Border Gateway Protocol, y es el protocolo de enrutamiento de Internet. En otras palabras, proporciona direcciones para que el tráfico viaje de una dirección IP a otra de la forma más eficiente posible.
Internet está compuesto de múltiples y grandes redes interconectadas. Al ser un sistema descentralizado, no hay un órgano rector ni un policía de tráfico que se encargue de establecer las mejores rutas para que los paquetes de datos alcancen sus destinos de direcciones IP. Si no fuera por el BGP, el tráfico web podría tardar mucho tiempo en llegar a su destino debido a un enrutamiento ineficiente, o incluso no llegar nunca al destino previsto.
Un Sistema Autónomo (AS) es una gran red o grupo de redes gestionadas por una única organización. Un AS puede contar con muchas subredes, pero todas comparten la misma política de enrutamiento. Por lo general, un AS es un ISP o una organización muy grande con su propia red y múltiples conexiones ascendentes desde esa red a los ISP (esto se denomina "red con multiconexión").
Por ejemplo, Cloudflare cuenta con centros de datos en 330 ciudades repartidas por todo el mundo, todos los cuales emiten un ASN (AS13335) y los mismos prefijos IP.
Debido a que BGP está diseñado para suponer que las redes interconectadas dicen la verdad sobre las direcciones IP que poseen, el secuestro de BGP es casi imposible de detener; imaginemos que nadie estuviera vigilando las señales de la autovía, y que la única forma de saber si estas se han cambiado con fines maliciosos fuera al constatar que muchos automóviles acababan en los barrios equivocados. Sin embargo, para que se produzca un secuestro, los atacantes tienen que controlar o poner en riesgo un enrutador con BGP que sirva de puente entre un Sistema Autónomo y otro, así que no todo el mundo puede llevar a cabo un secuestro de BGP.
¿Cómo se puede secuestrar el BGP?
Cuando un AS anuncia una ruta a prefijos IP que no controla en realidad, este anuncio, si no se filtra, puede propagarse y añadirse a las tablas de enrutamiento de los enrutadores de BGP por Internet. Desde ese momento, y hasta que alguien se dé cuenta y corrija las rutas, el tráfico hacia esas IP se dirigirá a ese AS. Sería como reclamar un territorio si no hubiera un gobierno local que verificara y aplicara los títulos de propiedad.
BGP siempre favorece la ruta más corta y especifica a la dirección IP deseada. Para que el secuestro de BGP tenga éxito, el anuncio de la ruta debe:
- Ofrecer una ruta más específica al anunciar un rango más pequeño de direcciones IP que los otros AS habían anunciado con anterioridad.
- Ofrecer una ruta más corta a ciertos bloques de direcciones IP. Además, no todo el mundo puede anunciar rutas de BGP al conjunto de Internet. Para que se produzca un secuestro de BGP, el anuncio lo debe realizar el operador de un AS, o un actor malicioso que haya puesto en riesgo un AS (este segundo caso es más improbable).
Según algunos cálculos, hay más de 80.000 sistemas autónomos en todo el mundo, no es de extrañar que algunos no sean de fiar.
Como resultado del secuestro de BGP, el tráfico de Internet puede ir por el camino equivocado, ser vigilado o interceptado, ir a un "agujero negro", o ser dirigido a sitios web falsos como parte de un ataque en ruta. Además, los spammers pueden utilizar el secuestro de BGP, o la red de un AS que lleva a cabo secuestros de BGP, para falsificar IP legítimas con para ser utilizadas como spam. Desde el punto de vista del usuario, los tiempos de carga de las páginas aumentarán, porque las solicitudes y las respuestas no seguirán la ruta de red más eficiente, y pueden llegar a recorrer todo el mundo innecesariamente.
En el mejor de los casos, el tráfico solo tomará una ruta innecesariamente larga, lo que aumentará la latencia. En el peor de los casos, un atacante realizará un ataque en ruta, o redirigirá a los usuarios a sitios web falsos para robar credenciales.
Medidas de protección
Aparte de la supervisión constante de cómo se enruta el tráfico de Internet, los usuarios y las redes poco pueden hacer para prevenir los secuestros de BGP.
BGP se diseñó para que Internet funcionara, y ciertamente lo hace. Pero el BGP no se diseñó pensando en la seguridad. Se están desarrollando soluciones de enrutamiento más seguras para Internet en su conjunto (como BGPsec), pero todavía no se han adoptado. De momento, el BGP es intrínsecamente vulnerable y seguirá siéndolo.
Actualmente existen miles de proveedores de que no implementan medidas de seguridad apropiadas para proteger. Por ejemplo, SpaceX Starlink (AS14593) no implementa BGP de forma segura. Debería utilizar RPKI para proteger Internet de los secuestros de BGP pero no lo hace.
Con más de 800.000 rutas en Internet, es imposible comprobarlas manualmente. La infraestructura de clave pública de recursos (RPKI) es un método de marco de seguridad que asocia una ruta con un sistema autónomo. Utiliza criptografía para validar la información antes de pasarla a los enrutadores.
Se puede consultar https://isbgpsafeyet.com para ver si su ISP implementa BGP de forma segura o si deja Internet vulnerable a secuestros de rutas maliciosas.
Fuente: Cloudflare
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.