Un supuesto error de enrutamiento desvía gran parte del tráfico de Google y Cloudflare por China

Topografía de rutas BGP afectadas por el desvío

La reciente interrupción de red que afectó parcialmente a proveedores estadounidenses como Google y Cloudflare fue supuestamente causada por un error de enrutamiento de un Proveedor de Servicios de Internet (ISP) nigeriano.

El lunes 12 de noviembre de 2018 se registraron desvíos intermitentemente del tráfico de diferentes proveedores a través de China. Parece ser mucha coincidencia que el supuesto error de enrutamiento de un proveedor nigeriano, en la definición de rutas BGP fue aceptada por un gran ISP chino, causando inadvertidamente la interrupción.

“En términos de internet, una lesión a uno puede convertirse fácilmente en una lesión para todos”. Con esta frase se pretende explicar el error de enrutamiento, en términos descifrables, en Naked Security.

En pocas palabras, desde la compañía británica de software y hardware de seguridad se han manifestado que los cambios en rutas confiables viajan rápido a través de BGP (Border Gateway Protocol o Protocolo de Puerta de Enlace de Frontera), pero, lo mismo sucede cuando estas son incorrectas.

Este tipo de incidentes pueden detenerse cuando alguien advierte del error a los administradores de las redes, y se reacciona para corregir el error. “Eso es lo que parece haber ocurrido en este caso, donde el tráfico a Google y otras redes se interrumpió intermitentemente, aunque afortunadamente no por mucho tiempo”.

Interrupción de navegación

En la compañía han comparado este error de BGP con un caso sencillo en términos de conducción. “Imagine que está navegando en la autopista, pero recibe una alerta por radio o por satélite de que la carretera por delante está cerrada justo después de la próxima salida, debido a un accidente”.

Al recibir esta alerta, el conductor debe tomar la siguiente salida para saltar la autopista. “Sólo para darte cuenta de que el boletín estaba equivocado: es la siguiente rampa de acceso que está cerrada, no la autopista en sí”.

En palabras sencillas, se ha dejado innecesariamente la autopista de flujo rápido. “No puedes volver a hacerlo sin desviarte por una ciudad cercana y todos los demás que escucharon el boletín hicieron lo mismo, empeorando así una mala situación y atascando el centro de la ciudad”.

Aunque el escenario fue corregido a tiempo, no es descabellada la preocupación por la gravedad y alcance del incidente, que ha dado pie a diferentes teorías que alcanzan ver algún tipo de conspiración.

“Después de todo, Nigeria está especialmente conectada con el fraude en línea; China es frecuentemente acusada de espionaje en internet y un artículo recientemente publicado afirmó explícitamente que China ha estado usando sistemáticamente el secuestro de BGP como una técnica de ataque cibernético”.

Los expertos en seguridad cibernética han puesto todos estos detalles sobre la mesa y albergan serias dudas acerca de la naturaleza del incidente, si un hecho deliberado y calculado a una gran escala, en lugar de simplemente un lapso momentáneo de equivocación.

No obstante, desde Naked Security se ha explicado que los operadores de redes con experiencia ya han señalado que, si la situación se debió a un secuestro deliberado, definitivamente terminó siendo “un hecho espectacularmente inefectivo y obvio que no funcionó porque la comunidad de ISP en general se dio cuenta rápidamente y lo solucionó”.

ISP y su orientación por BGP

En la publicación de Naked Security se ha expuesto que el tráfico de internet depende en gran medida del sistema denominado BGP, el mismo que es utilizado por los proveedores de servicios de internet para decirse cuál tráfico pueden enrutar y qué tan eficientemente pueden llegar a su destino.

“Al comunicarse de forma regular y automática entre ellos sobre la mejor manera de ir de X a Y, de Y a Z, etc., los proveedores de internet no sólo se ayudan mutuamente a encontrar las mejores rutas, sino que también se adaptan rápidamente para evitar los cortes en la red”.

Entonces, todo parece indicar que el BGP no es particularmente robusto y la simplicidad que lo hace rápido y efectivo puede causar problemas si un ISP comete un error de enrutamiento o, como ha sucedido en este caso, cuando un ISP se desvía y anuncia deliberadamente rutas falsas para desviar o descarrilar el tráfico de otras personas.

En teoría, los enrutadores que ejecutan BGP aceptan rutas anunciadas de otros enrutadores BGP de forma predeterminada. “Esto permite el enrutamiento automático y descentralizado del tráfico a través de internet”, pero también lo deja potencialmente vulnerable a interrupciones maliciosas o accidentales conocidas como secuestro de BGP.

Esta vulnerabilidad se corrige, por ejemplo, mediante la introducción del uso de claves criptográficas para verificar, en a la medida en que BGP está integrado en los sistemas centrales de internet y la cantidad de diferentes redes operadas por muchas organizaciones que conforman colectivamente internet.