- Las redes que adoptan las mejores prácticas de seguridad de enrutamiento pueden reducir el riesgo de que se secuestre el tráfico de sus clientes.
- La geografía, el tamaño de la red, la categoría empresarial y la complejidad del espacio de direcciones influyen en los niveles de adopción de la seguridad de enrutamiento.
- Los nuevos hallazgos pueden servir de base a los esfuerzos de los responsables políticos para comprender los retos y abogar por una mayor adopción de la seguridad de las rutas.
La seguridad del enrutamiento no es un problema nuevo. Durante décadas, hemos sabido que el protocolo de facto diseñado para permitir el encaminamiento entre dominios -el Protocolo de Pasarela Fronteriza (BGP)- tiene una vulnerabilidad crítica: carece de un mecanismo incorporado para validar la información que comparten las redes y que utiliza para seleccionar rutas globales para el tráfico de datos.
Esto significa que cuando las redes deciden a dónde enviar el tráfico en línea, a menudo no tienen forma de verificar que lo están enviando a una red que puede entregar ese tráfico a su dirección prevista. Como resultado, el tráfico en línea a menudo se encamina a las redes equivocadas, ya sea accidental o maliciosamente, un tipo de problema que a veces se denomina secuestro BGP.
Como el secuestro de BGP existe desde hace mucho tiempo, los investigadores y tecnólogos han ideado varias formas de evitarlo. Una de las soluciones más utilizadas es un marco llamado Infraestructura de Clave Pública de Recursos, o RPKI, que fue estandarizado por el Grupo de Trabajo de Ingeniería de Internet en 2012.
El marco RPKI permite a las redes emitir registros criptográficos que otras redes pueden utilizar para validar datos en BGP, garantizando eficazmente que el tráfico en línea no pueda ser secuestrado. Sin embargo, para beneficiarse plenamente de la protección RPKI, las redes deben emitir registros RPKI para todo el espacio de direcciones IP que utilicen.
Comprueba qué parte del espacio de direcciones IP de tu país ha emitido registros RPKI.
Resulta frustrante que, aunque RPKI existe desde hace más de una década, su adopción ha sido lenta. Hoy, en 2024, sólo alrededor de la mitad de las direcciones IP anunciadas en BGP están cubiertas por registros RPKI.
Nuestra investigación trata de entender por qué la adopción de RPKI ha sido tan lenta, dado que los riesgos de seguridad que aborda son bien conocidos, y qué tipos de organizaciones se están retrasando en la adopción de RPKI. Esperamos que estas conclusiones puedan servir de base a los esfuerzos de los responsables políticos para impulsar la adopción de RPKI y asegurar mejor BGP. Esto es especialmente relevante cuando el gobierno de EE.UU. está dando un nuevo impulso a la seguridad del enrutamiento.
La región y el tamaño de la red desempeñan un papel importante en la adopción de RPKI
En nuestro análisis, encontramos cuatro características clave que influyen en los niveles de adopción de RPKI de las organizaciones: la geografía, el tamaño de la red, la categoría empresarial y la complejidad del espacio de direcciones.
Creemos que la heterogeneidad geográfica se debe a que los Registros Regionales de Internet (RIR) han implantado de forma independiente el proceso y los requisitos para emitir registros RPKI. Como consecuencia, los niveles de adopción varían según la zona geográfica que cubre cada RIR.
Además, el tamaño de la red es un factor importante porque la RPKI requiere una gestión y un funcionamiento adicionales, y a las redes más pequeñas les resulta más difícil añadir eso a sus operaciones habituales.
Además, las redes de organizaciones no relacionadas con los servicios de Internet, como las redes educativas y gubernamentales, tienen aún menos conocimiento de la RPKI y menos incentivos para adoptarla que las organizaciones con vínculos más estrechos con los servicios en línea.
Por último, incluso en las grandes redes, todas las direcciones IP difieren en cuanto al esfuerzo necesario para emitir registros RPKI. Los retos legales y operativos relacionados con la delegación y subdelegación del espacio de direcciones pueden dificultar la adopción de RPKI para algunas partes de su espacio de direcciones.
Lee nuestro artículo para obtener más detalles sobre el estudio y los resultados.
Tenemos previsto utilizar estos resultados como punto de partida para un estudio más amplio de los obstáculos a los que se enfrentan estas organizaciones rezagadas a la hora de adoptar la RPKI y, en última instancia, proponer posibles soluciones políticas que ayuden a abordar estos retos en el futuro.
Colaboradores: Cecilia Testart, Deepak Gouda y Romain Fontugne
Josephine Wolff es profesora asociada de Política de Ciberseguridad en la Escuela Fletcher de la Universidad Tufts.
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.