El secuestro de BGP sigue rompiendo internet — y RPKI es la solución que la mayoría de los ISP aún no han desplegado
En algún momento de abril de 2010, durante unos 18 minutos, cerca del 15% del tráfico mundial de internet fue redirigido a través de la red de China Telecom. Entre ese tráfico había datos de las fuerzas armadas de EE.UU., agencias gubernamentales y grandes corporaciones. China Telecom no hackeó nada. Simplemente anunció que tenía rutas mejores hacia esos destinos, y el resto de internet le creyó — porque el Border Gateway Protocol, el sistema que dirige todo el tráfico de internet, no tiene forma de verificar si un anuncio de ruta es legítimo.
Eso fue hace 16 años. El problema subyacente sigue sin resolverse.
El protocolo que funciona con confianza
BGP data de 1989. Se diseñó cuando internet era una red pequeña de universidades y agencias gubernamentales que se conocían entre sí. El protocolo opera bajo la premisa de que si una red (llamada Sistema Autónomo, o AS) anuncia que puede alcanzar un bloque determinado de direcciones IP, el anuncio es verdadero. No existe verificación criptográfica, ni autenticación, ni forma de demostrar que tienes derecho a anunciar una ruta. Simplemente la anuncias, e internet te envía el tráfico.
Esto importa porque BGP es cómo cada paquete en internet encuentra su destino. Cuando cargas una página web, el router de tu ISP consulta las tablas BGP para encontrar la ruta hacia el servidor. Si alguien inyecta una ruta falsa, tu tráfico va a otro lado — a una red que puede leerlo, modificarlo o simplemente descartarlo.
Los secuestros de BGP ocurren con regularidad. Pakistan Telecom dejó YouTube fuera de línea durante dos horas en 2008 al anunciar accidentalmente que tenía una mejor ruta. Rostelecom en Rusia interceptó brevemente tráfico de Amazon, Google, Akamai y otros 200 proveedores en 2020. Un ISP bielorruso secuestró el espacio IP de Cloudflare en 2021. La mayoría de los incidentes son errores de configuración accidentales, pero actores estatales han demostrado capacidad para hacerlo intencionalmente.
Lo que RPKI debería arreglar
Resource Public Key Infrastructure — RPKI — es un marco criptográfico que permite a los titulares de direcciones IP firmar registros llamados Route Origin Authorizations (ROAs). Una ROA dice, en términos criptográficos: «AS 64500 está autorizado a anunciar el prefijo 198.51.100.0/24». Si otra persona anuncia el mismo prefijo, las redes que tienen activada la validación RPKI pueden ver que el anuncio no coincide con ninguna ROA válida y rechazarlo.
Los cinco Registros Regionales de Internet — ARIN (Norteamérica), RIPE NCC (Europa/Oriente Medio), APNIC (Asia-Pacífico), LACNIC (Latinoamérica) y AFRINIC (África) — ofrecen servicios RPKI. Crear ROAs es gratuito. La infraestructura criptográfica ya está construida.
El problema es que RPKI requiere dos pasos para detener realmente los secuestros. Primero, los titulares de direcciones deben crear ROAs. Segundo, los ISP y operadores de red deben configurar sus routers para rechazar los anuncios que no pasen la validación (esto se llama validación de origen, o RPKI-ROV). Ambas partes deben ocurrir para que la protección funcione.
Dónde está realmente la adopción
A principios de 2026, aproximadamente entre el 50 y el 55% de los prefijos IPv4 enrutados globalmente tienen ROAs válidas — es decir, sus titulares las han firmado con RPKI. Eso supone un aumento respecto al 20% de 2020, lo que representa un progreso real. Pero la creación de ROAs es solo la mitad de la ecuación.
La validación de origen — el filtrado que realmente rechaza rutas maliciosas — está desplegada en muchas menos redes. NIST estima que alrededor del 30–35% de las redes Tier 1 y Tier 2 aplican actualmente RPKI-ROV. Los grandes operadores estadounidenses (AT&T, Verizon, Lumen/CenturyLink) han sido lentos. Los operadores europeos, especialmente los conectados a RIPE NCC, tienen tasas de adopción más altas. Algunas grandes CDNs como Cloudflare y Fastly la aplican. La mayoría de los ISP regionales y las redes empresariales no lo hacen.
¿Qué significa esto? Incluso si tu ROA dice que eres el dueño de un prefijo, una parte significativa de la infraestructura de internet aún aceptará un anuncio secuestrado de ese prefijo proveniente de otro. La protección es parcial, no universal.
Por qué está tomando tanto tiempo
Las razones de la lenta adopción son principalmente operativas y económicas, no técnicas. Configurar RPKI-ROV en los routers de un operador requiere modificar la política de enrutamiento en cada punto de interconexión y en cada router de borde. Una ROA mal configurada puede hacer que una red legítima sea inalcanzable — la cura se convierte en la causa de la caída. Los grandes ISP que manejan cientos de miles de rutas comprensiblemente se muestran reacios a activar un filtrado que podría descartar tráfico válido inadvertidamente.
También existe un desincentivo. Los costes de un secuestro BGP recaen sobre la red víctima. El trabajo de desplegar RPKI-ROV recae sobre todas las demás redes. Para cualquier ISP individual, el cálculo histórico ha sido: el esfuerzo es mío, el beneficio es difuso. Esto es un problema clásico de coordinación.
Los reguladores están empezando a presionar. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) y la FCC han publicado guías que fomentan el despliegue de RPKI entre los operadores estadounidenses, y los principios de «Diseño Seguro» de CISA mencionan explícitamente la seguridad de BGP. La Directiva NIS2 de la UE, que entró en vigor en 2024, exige que los operadores de servicios esenciales implementen medidas de seguridad BGP — aunque su aplicación sigue siendo inconsistente entre los estados miembros.
Más allá de RPKI: lo que se necesita para asegurar realmente el enrutamiento
RPKI-ROV solo valida el origen de una ruta — el primer AS que la anuncia. No valida la ruta completa que recorre un anuncio. Una solución más completa llamada BGPsec añade firmas criptográficas en cada paso del trayecto, pero requiere que cada AS a lo largo del camino lo soporte y tiene implicaciones significativas de rendimiento en el hardware del router. Su despliegue es prácticamente nulo.
Un punto intermedio llamado ASPA (Autonomous System Provider Authorization) fue estandarizado por la IETF en 2024. ASPA permite que las redes firmen registros que indiquen qué ASes son sus proveedores upstream. Esto hace posible detectar y rechazar una clase de fugas de ruta que RPKI-ROV no detecta — específicamente, casos en los que una red anuncia accidentalmente sus rutas de clientes a sus otros proveedores. ASPA está ganando interés, pero su despliegue es muy incipiente.
La realidad subyacente es que la seguridad del enrutamiento en internet es un problema de acción colectiva. Requiere que la mayoría de las redes significativas cambien sus prácticas operativas simultáneamente para ser completamente efectiva. RPKI ha logrado avances reales en los últimos cinco años — la trayectoria es positiva — pero al ritmo actual, un actor estatal decidido o un router Tier 1 mal configurado aún puede redirigir el tráfico global de internet. La solución técnica existe. La brecha de despliegue es el problema.