Damián Digital

Ahora puede comprobar si su proveedor de servicios de Internet utiliza medidas de seguridad básicas

«Is BGP Safe Yet» es un nuevo sitio que nombra y avergüenza a los proveedores de servicios de Internet que no tienden a su enrutamiento.

Durante más de una hora a principios de abril, los principales sitios como Google y Facebook chisporrotearon por grandes franjas de gente. El culpable no era un hacker o un bicho. Fueron problemas con el estándar de enrutamiento de datos de Internet conocido como el Protocolo de Pasarela de Frontera, que había permitido que cantidades significativas de tráfico web tomaran un desvío inesperado a través de una telecomunicación rusa. Para el CEO de Cloudflare, Matthew Prince, fue la gota que colmó el vaso.

Las interrupciones de BGP ocurren frecuentemente, generalmente por accidente. Pero BGP también puede ser secuestrado para espionaje a gran escala, interceptación de datos, o como una especie de ataque de negación de servicio. Apenas la semana pasada, las agencias del Poder Ejecutivo de los Estados Unidos se movieron para bloquear a China Telecom para que no ofrezca servicios en los Estados Unidos, debido a una actividad supuestamente maliciosa que incluye ataques BGP. Compañías como Cloudflare se sientan en la primera línea del retroceso de BGP. Y aunque la compañía no puede arreglar el problema directamente, puede llamar a aquellos que son lentos para contribuir con las defensas.

«BGP es una de esas áreas realmente frustrantes que no podemos resolver nosotros mismos.»
– Matthew Prince, Cloudflare

El viernes, la compañía lanzó Is BGP Safe Yet, un sitio que facilita a cualquiera comprobar si su proveedor de servicios de Internet ha añadido las protecciones y filtros de seguridad que pueden hacer a BGP más estable. Esas mejoras son más efectivas con la amplia adopción de los ISP, redes de entrega de contenido como Cloudflare, y otros proveedores de nube. Cloudflare estima que hasta ahora cerca de la mitad de la Internet está más protegida gracias a que grandes empresas como AT&T, la telecomunicación sueca Telia, y la telecomunicación japonesa NTT adoptaron las mejoras de BGP. Y mientras Cloudflare dice que no parece que el incidente de Rostelecom haya sido intencional o malicioso, las telecomunicaciones rusas tienen un historial de intromisión sospechosa de BGP, y problemas similares seguirán apareciendo hasta que toda la industria esté a bordo.

LEER  El mejor consejo para una carrera en seguridad informática

«Con esa última gran fuga de ruta de hace unas semanas fuera de Rusia, fue un punto en el que nuestro equipo de ingeniería dijo que ya es suficiente, es hora de que empecemos a nombrar y avergonzar a las empresas que no están haciendo esto bien», dice el CEO de Cloudflare, Matthew Prince. «Cualquier cosa que salga mal en cualquier lugar de Internet, se nos culpa por ello, ¡lo cual es correcto! Nuestros clientes nos pagan para asegurarse de que sus conexiones a Internet sean rápidas, seguras y fiables. Así que BGP es una de esas áreas realmente frustrantes que no podemos resolver nosotros mismos.»

BGP es como un servicio de mapeo GPS para Internet, permitiendo a los proveedores de servicios de Internet elegir automáticamente qué ruta de datos debe tomar sobre el vasto paisaje de redes de Internet. Pero en realidad BGP es como usar un servicio de mapas GPS dirigido por tus parientes con opinión. El padrastro de tu primo dice: «Oh, toma esta ruta. Será rápido y seguro, y podrás pasar por la casa con los grandes adornos de Halloween», y sólo tienes que confiar en él. Si no sabe de lo que habla, como un ISP anunciando una mala ruta BGP, podrías terminar atascado en un tráfico interminable de centros comerciales.

Las herramientas criptográficas, los filtros de ruta y las mejores prácticas que Cloudflare y otras organizaciones han estado promoviendo son como un sexto sentido para detectar cuando se recibe un mal consejo. Hacen comprobaciones reales en las rutas BGP que otros ISP están «anunciando» u ofreciendo, para asegurarse de que son legítimas y que nadie está anunciando una ruta problemática.

LEER  Un error crítico reportado en phpMyAdmin permite a los atacantes dañar las bases de datos

Is BGP Safe Yet probará su ISP ofreciendo una ruta legítima y una inválida para cargar dos páginas. Si tu ISP coge la ruta inválida y sólo carga la página en la ruta real, pasa la prueba. Pero si acepta ambas rutas como válidas, tu ISP fallará, lo que significa que aún no ha implementado las protecciones BGP para comprobar las rutas malas y filtrarlas.

Incluso con un gran número de servicios que aún no ofrecen protecciones BGP, usted puede obtener beneficios de aquellos que sí lo hacen. Prince explica que durante una interrupción como el incidente de las telecomunicaciones rusas, los ISP que utilizan las mejores prácticas de BGP identificarían el problema, a menudo llamado «fuga de ruta», y lo rechazarían en favor de una ruta legítima. Por lo tanto, si su Wi-Fi doméstico proviene de Comcast, que aún no ha implementado las mejoras, y usted obtiene sus datos móviles de AT&T, que sí lo ha hecho, podría tener problemas para cargar ciertos sitios web y servicios en su portátil durante un incidente de BGP, pero podría acceder a ellos perfectamente desde su smartphone.

Probablemente no tienes una línea directa con el CEO de tu ISP para quejarte de su falta de prisa en las protecciones de BGP. Y no todas las demoras en la implementación de protecciones BGP más fuertes han venido de los ISPs. También hay problemas de equipamiento, porque muchos fabricantes de routers industriales aún no han añadido el soporte necesario a sus productos. Cloudflare espera, sin embargo, que la herramienta aumente la conciencia entre los consumidores y al mismo tiempo proporcione una manera fácil para que los actores de la industria vean y sean vistos.

LEER  Facebook dice que los hackers accedieron a información personal confidencial de 29 millones de usuarios

«BGP es un protocolo con más de 40 años de antigüedad, es un milagro que Internet haya funcionado en lo que realmente es un sistema basado en la confianza durante tanto tiempo como lo ha hecho», dice Prince. «Obviamente tiene sentido tener más verificación, porque cualquier otra cosa es una locura. Y sin embargo… Ha llevado mucho tiempo conseguir que se implemente. Esperemos que podamos poner un poco de presión pública».

Fuente: https://www.wired.com/

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: