Seguridad y Confianza
El Problema de la Confianza en BGP
BGP es 'confía, no verifiques'. Si un peer dice 'puedo alcanzar X', aceptas. Funciona por comunidad pequeña (<10.000 personas gestionan internet), reputación. La mayoría de problemas son errores, no malicia.
Incidentes Históricos
Telecom Malaysia
Telecom Malaysia: anunció 179.000 prefijos por error a Level3. Ralentización global.
Pakistan Telecom / YouTube
Pakistan Telecom: intentó bloquear YouTube, propagó ruta globalmente. YouTube caído 2 horas.
Facebook 2021
Facebook 2021: mala config BGP, 6h caído. COVID, no había nadie. $6 mil millones pérdida.
MyEtherWallet 2018
MyEtherWallet 2018: actor malicioso anunció IPs de Route 53, redirigió DNS. ~$150k robados. Ataque muy barato.
Defensas y Filtrado
Max Prefix
Max Prefix: límite de prefijos. Hubiera evitado incidente Malaysia.
Route Objects
Route Objects: enlazan bloque IP a ASN. Anuncios sin objeto deberían rechazarse.
Bogones
Listas Bogones: subredes que no deberían existir.
BCP 38
BCP 38: anti-suplantación de IP.
RPKI y ROA
RPKI: bases de datos con mensajes firmados que certifican qué ASN puede anunciar qué red.
Valid
Valid: coincide
Invalid
Invalid: debería rechazarse
Unknown
Unknown: no hay entrada.
~50% rutas con firma. ~30% redes verifican. ~15% rechazan inválidas.
2026: >50% rutas con ROAs, ~75% del tráfico hacia rutas firmadas. Sparkle (Tier-1) y otros rechazan prefijos RPKI-inválidos.
Riesgo (NDSS 2026): el despliegue parcial de ROV permite 'secuestros BGP sigilosos' en redes legacy no validadas.
¿Qué es RPKI?
Click para revelar
MANRS y la Comunidad
MANRS: Mutually Agreed Norms for Routing Security. Lista ISPs con filtrado adecuado. +1000 participantes. NOGs en casi todos los países.
Sin punto único de control. Confianza por reputación. Comunidad pequeña de ingenieros. No dejes que te asuste: es benevolente. Una escuela primaria en Suiza tiene su propio AS.
Checkpoint
¿Qué hace RPKI para mejorar la seguridad BGP?