Explorando el potencial de las listas de verificación firmadas RPKI: Ya tenemos los resultados

En 2024, la Internet Society recibió el apoyo del Programa de Subvenciones Comunitarias de ARIN para explorar nuevas herramientas que refuercen la resistencia y la fiabilidad del sistema de enrutamiento de Internet. Este proyecto se centró en una norma de Internet recientemente adoptada llamada Lista de Comprobación Firmada RPKI (RSC), que está diseñada para permitir a un titular de recursos de Internet crear una declaración verificable de control sobre los objetos digitales firmados.

Lee el informe: Explorando el potencial de las listas de control firmadas por RPKI

¿Por qué es importante? En el corazón de Internet subyace una cuestión crítica: ¿Quién puede anunciar qué parte del espacio de direcciones de Internet y sobre qué base?

Durante décadas, la respuesta se basó en documentos de confianza y registros obsoletos, sistemas cada vez más inseguros y propensos al abuso. Demostramos que el RSC puede proporcionar una base más fiable y verificable para las operaciones de Internet, sustituyendo los frágiles “rastros de papel” por la certeza criptográfica.

Por qué el sistema tradicional basado en papel ya no funciona

Tradicionalmente, demostrar que controlas un bloque de direcciones IP o un Número de Sistema Autónomo (ASN) requería poco más que una Carta de Autoridad (LOA), básicamente un PDF o correo electrónico firmado.

Aunque convenientes, las LOA son fáciles de falsificar, difíciles de verificar y propensas a la manipulación. En un infame incidente ocurrido en 2015, unos atacantes falsificaron una LOA para apropiarse de un gran bloque de direcciones IPv4 de un operador japonés, provocando la interrupción de Internet durante días.

Junto a las LOA, muchos operadores publican información de enrutamiento utilizando el Registro de Enrutamiento de Internet (IRR). Sin embargo, los IRR están fragmentados, son incoherentes y a menudo contienen datos obsoletos o incorrectos. Peor aún, no ofrecen ninguna garantía criptográfica, lo que significa que cualquiera podría introducir información falsa sin ser cuestionado.

En resumen, el sistema heredado de LOAs e IRRs expone a Internet al fraude, a la desconfiguración y, potencialmente, a costosos tiempos de inactividad.

El ascenso de RPKI: una base más sólida

La Infraestructura de Clave Pública de Recursos (RPKI) se desarrolló para dar a los titulares de recursos de Internet certificados criptográficos que demuestren la propiedad de sus direcciones IP y ASN. Hoy en día, el uso más común de la RPKI es la Autorización de Origen de Ruta (ROA), que ayuda a evitar el secuestro accidental o malintencionado de rutas de Internet.

Sin embargo, aunque los ROA reforzaban una pieza del rompecabezas -verificar quién puede anunciar qué direcciones-, no cubrían otras necesidades críticas. Las redes seguían dependiendo de las frágiles LOA para tareas cotidianas como:

• Autorizar a los proveedores ascendentes o pares.
• Demostrar la propiedad de la IP al introducir direcciones en un entorno de nube.
• Validar la información en bases de datos de terceros como PeeringDB o servicios de geolocalización.

En este vacío es donde entra la Lista de Comprobación Firmada RPKI (RSC).

¿Qué es una Lista de Comprobación Firmada RPKI (RSC)?

Piensa en un RSC como una lista de comprobación firmada digitalmente de archivos o datos vinculados directamente a los recursos de Internet de la red. Utiliza los mismos certificados RPKI de confianza ya existentes, pero amplía su uso más allá del mero encaminamiento. Por ejemplo:

• En lugar de enviar por correo electrónico una LOA estática, una red puede emitir una RSC que demuestre criptográficamente que controla el bloque IP en cuestión.
• Un cliente de la nube que trae sus propias direcciones IP (BYOIP) puede utilizar un RSC para agilizar el proceso de incorporación.
• Los proveedores de geolocalización (como Google o MaxMind) pueden verificar que las actualizaciones de los datos de localización proceden realmente del propietario legítimo del bloque IP.

La belleza de la RSC es su sencillez. A diferencia de los modelos experimentales anteriores, sólo requiere un firmante, ningún formato complicado y ningún repositorio global. Puede distribuirse por correo electrónico, API o incluso adjuntarse a documentos, igual que una LOA hoy en día, pero con garantías mucho más sólidas.

Por qué es importante para la resistencia de Internet

Desde una perspectiva pública y política, la importancia de la RSC está relacionada con la confianza, la eficacia y la seguridad.

• Confianza: Con el RSC, las organizaciones pueden confiar en que la información que reciben procede del titular legítimo de los recursos, no de un documento falsificado ni de una base de datos no verificable.
• Eficacia: La validación automatizada reduce el tiempo y los errores humanos asociados a la comprobación de las LOA o los registros IRR, lo que permite a las empresas avanzar más rápidamente sin comprometer la seguridad.
• Seguridad: Al cerrar las brechas que los atacantes han explotado anteriormente, el RSC ayuda a proteger contra el secuestro de rutas, el fraude y los costosos tiempos de inactividad.

En última instancia, la adopción generalizada del RSC puede hacer que la infraestructura mundial de Internet sea más resistente, reduciendo los riesgos que afectan no sólo a los operadores, sino también a las empresas, los gobiernos y los usuarios cotidianos que dependen de una Internet estable.

Aplicaciones en el mundo real

Nuestra investigación identificó varios casos de uso clave en los que los CSR pueden aportar un valor inmediato:

1. Sustitución de las LOA para la Autorización de Rutas: En lugar de verificar manualmente los PDF enviados por correo electrónico, los operadores pueden validar los RSC automáticamente utilizando herramientas RPKI estándar. Esto permite que el peering y el onboarding upstream sean más rápidos, seguros y menos propensos a errores.
2. Trae tu propia IP (BYOIP) en entornos de nube: Los proveedores de la nube exigen a los clientes que demuestren la propiedad de las IP. RSC automatiza este proceso, permitiendo despliegues más rápidos y reduciendo las disputas.
3. Verificación de bases de datos de terceros: Los servicios como PeeringDB o los sistemas de automatización personalizados suelen basarse en datos autodeclarados. El RSC permite probar la legitimidad, reduciendo el fraude y la incoherencia.
4. Precisión de la geolocalización: Al firmar los feeds de geolocalización con los CSR, los titulares de los recursos se aseguran de que las actualizaciones proceden del propietario legítimo, lo que ayuda a alinear las bases de datos y a mejorar la experiencia del usuario.
5. Gestión interna de activos: Los grandes operadores pueden utilizar los CSR para gestionar y auditar las delegaciones internas, reduciendo los errores y reforzando la gobernanza.

Lo que escuchamos de la Comunidad

Como parte de este proyecto, la Internet Society encuestó a los operadores en los actos de las redes regionales. Los resultados pusieron de manifiesto tanto el entusiasmo como las dudas en torno a la RSC:

• El 60% de los encuestados no estaban familiarizados con el RSC, lo que indica la necesidad de una mayor concienciación.
• El 40% citó problemas de integración con sus sistemas actuales.
• El 30% cuestionó el valor empresarial inmediato.
• Alrededor del 50% estaban abiertos a probar la RSC en un entorno piloto, mientras que la otra mitad prefería esperar a tener beneficios más evidentes.

Estos resultados reflejan la clásica curva de adopción: algunos están listos para experimentar, mientras que otros les seguirán una vez que los primeros éxitos demuestren su valor.

El camino a seguir

Para que la RSC tenga éxito, son necesarios varios pasos:

• Educación: Unos recursos y estudios de casos más claros ayudan al público técnico y no técnico a comprender las ventajas del RSC.
• Herramientas: Software y API sencillos y fáciles de usar para generar y validar los CSR.
• Pilotos: Demostraciones con proveedores de nube, IXP y otros pioneros para mostrar el impacto en el mundo real.
• Compromiso político: Los RIR y las comunidades técnicas deben proporcionar marcos que faciliten el uso fácil y seguro de los RSC por parte de sus miembros.

Una estrategia prometedora es empezar con los proveedores de la nube, que ya son líderes en la adopción de RPKI. Una vez que integren la RSC en sus flujos de trabajo, el impulso puede extenderse a los operadores de telecomunicaciones y a las empresas.

Construir una Internet más fiable

La resistencia de Internet no sólo depende de la tecnología, sino también de la confianza. Durante demasiado tiempo, esa confianza se ha basado en sistemas frágiles como las LOA y los registros obsoletos. La Lista de Comprobación Firmada RPKI (RSC) ofrece una alternativa moderna, segura, verificable y fácil de automatizar.

Con el apoyo del Programa de Subvenciones Comunitarias de ARIN, la Internet Society espera que el resultado de este estudio ayude a avanzar en la conversación sobre cómo las RSC pueden reforzar la infraestructura de Internet. Sin embargo, una adopción más amplia requerirá la colaboración entre operadores, proveedores de la nube, partes interesadas en las políticas y organismos de normalización.

Sigue la adopción de la cobertura ROA y la Validación de Rutas a través de la página Tecnologías de Pulso.

Contenido traducido

El contenido en francés y español disponible en Internet Society Pulse puede haber sido generado usando servicios de traducción automática, por lo que podría no reflejar con total precisión el texto original.

La versión oficial es el texto en inglés.