El secuestro de BGP se produce cuando los atacantes redirigen con fines maliciosos el tráfico de Internet. Los atacantes logran esto al declarar de forma falsa que son los propietarios de grupos de direcciones IP, llamados prefijos IP, de los que en realidad no son propietarios, ni controlan ni enrutan. Un secuestro de BGP es muy parecido a como si alguien cambiara todas las señales de un tramo de autovía y redirigiera el tráfico de automóviles hacia las salidas incorrectas.

Se han producido muchos secuestros deliberados de BGP en el mundo real. Por ejemplo, en abril de 2018, un proveedor ruso anunció una serie de prefijos IP (grupos de direcciones IP) que, en realidad, pertenecían a servidores DNS de Route53 Amazon. En resumen, el resultado final fue que a los usuarios que intentaban iniciar sesión en un sitio de criptomonedas se les redirigió a una versión falsa del sitio web controlada por los delincuentes.

BGP son las siglas de Border Gateway Protocol, y es el protocolo de enrutamiento de Internet. En otras palabras, proporciona direcciones para que el tráfico viaje de una dirección IP a otra de la forma más eficiente posible. 

 Internet está compuesto de múltiples y grandes redes interconectadas. Al ser un sistema descentralizado, no hay un órgano rector ni un policía de tráfico que se encargue de establecer las mejores rutas para que los paquetes de datos alcancen sus destinos de direcciones IP. Si no fuera por el BGP, el tráfico web podría tardar mucho tiempo en llegar a su destino debido a un enrutamiento ineficiente, o incluso no llegar nunca al destino previsto.

Un Sistema Autónomo (AS) es una gran red o grupo de redes gestionadas por una única organización. Un AS puede contar con muchas subredes, pero todas comparten la misma política de enrutamiento. Por lo general, un AS es un ISP o una organización muy grande con su propia red y múltiples conexiones ascendentes desde esa red a los ISP (esto se denomina "red con multiconexión").

Por ejemplo, Cloudflare cuenta con centros de datos en 330 ciudades repartidas por todo el mundo, todos los cuales emiten un ASN (AS13335) y los mismos prefijos IP.

Debido a que BGP está diseñado para suponer que las redes interconectadas dicen la verdad sobre las direcciones IP que poseen, el secuestro de BGP es casi imposible de detener; imaginemos que nadie estuviera vigilando las señales de la autovía, y que la única forma de saber si estas se han cambiado con fines maliciosos fuera al constatar que muchos automóviles acababan en los barrios equivocados. Sin embargo, para que se produzca un secuestro, los atacantes tienen que controlar o poner en riesgo un enrutador con BGP que sirva de puente entre un Sistema Autónomo y otro, así que no todo el mundo puede llevar a cabo un secuestro de BGP. 

¿Cómo se puede secuestrar el BGP?

Cuando un AS anuncia una ruta a prefijos IP que no controla en realidad, este anuncio, si no se filtra, puede propagarse y añadirse a las tablas de enrutamiento de los enrutadores de BGP por Internet. Desde ese momento, y hasta que alguien se dé cuenta y corrija las rutas, el tráfico hacia esas IP se dirigirá a ese AS. Sería como reclamar un territorio si no hubiera un gobierno local que verificara y aplicara los títulos de propiedad.

BGP siempre favorece la ruta más corta y especifica a la dirección IP deseada. Para que el secuestro de BGP tenga éxito, el anuncio de la ruta debe:

1. Ofrecer una ruta más específica al anunciar un rango más pequeño de direcciones IP que los otros AS habían anunciado con anterioridad.
2. Ofrecer una ruta más corta a ciertos bloques de direcciones IP. Además, no todo el mundo puede anunciar rutas de BGP al conjunto de Internet. Para que se produzca un secuestro de BGP, el anuncio lo debe realizar el operador de un AS, o un actor malicioso que haya puesto en riesgo un AS (este segundo caso es más improbable).

   Según algunos cálculos, hay más de 80.000 sistemas autónomos en todo el mundo, no es de extrañar que algunos no sean de fiar.

Como resultado del secuestro de BGP, el tráfico de Internet puede ir por el camino equivocado, ser vigilado o interceptado, ir a un "agujero negro", o ser dirigido a sitios web falsos como parte de un ataque en ruta. Además, los spammers pueden utilizar el secuestro de BGP, o la red de un AS que lleva a cabo secuestros de BGP, para falsificar IP legítimas con para ser utilizadas como spam. Desde el punto de vista del usuario, los tiempos de carga de las páginas aumentarán, porque las solicitudes y las respuestas no seguirán la ruta de red más eficiente, y pueden llegar a recorrer todo el mundo innecesariamente.

En el mejor de los casos, el tráfico solo tomará una ruta innecesariamente larga, lo que aumentará la latencia. En el peor de los casos, un atacante realizará un ataque en ruta, o redirigirá a los usuarios a sitios web falsos para robar credenciales.

Medidas de protección

Aparte de la supervisión constante de cómo se enruta el tráfico de Internet, los usuarios y las redes poco pueden hacer para prevenir los secuestros de BGP.

BGP se diseñó para que Internet funcionara, y ciertamente lo hace. Pero el BGP no se diseñó pensando en la seguridad. Se están desarrollando soluciones de enrutamiento más seguras para Internet en su conjunto (como BGPsec), pero todavía no se han adoptado. De momento, el BGP es intrínsecamente vulnerable y seguirá siéndolo.

Actualmente existen miles de proveedores de que no implementan medidas de seguridad apropiadas para proteger. Por ejemplo, SpaceX Starlink (AS14593) no implementa BGP de forma segura. Debería utilizar RPKI para proteger Internet de los secuestros de BGP pero no lo hace.

Con más de 800.000 rutas en Internet, es imposible comprobarlas manualmente. La infraestructura de clave pública de recursos (RPKI) es un método de marco de seguridad que asocia una ruta con un sistema autónomo. Utiliza criptografía para validar la información antes de pasarla a los enrutadores.

Se puede consultar https://isbgpsafeyet.com para ver si su ISP implementa BGP de forma segura o si deja Internet vulnerable a secuestros de rutas maliciosas.