IRCNF
Internet & Network

El secuestro de BGP sigue siendo un fallo estructural en el enrutamiento de internet — la adopción de RPKI es la solución

Compartir:
El secuestro de BGP sigue siendo un fallo estructural en el enrutamiento de internet — la adopción de RPKI es la solución

El protocolo que mueve internet no tiene autenticación incorporada

Cada vez que cargas un sitio web, tu tráfico cruza decenas de sistemas autónomos — las redes gestionadas de forma independiente por ISPs, proveedores cloud y empresas. Estas redes intercambian información de enrutamiento mediante el Border Gateway Protocol (BGP), un sistema diseñado en 1989 por ingenieros que esbozaban ideas en una servilleta durante una reunión del IETF. El protocolo funciona por confianza: cuando una red anuncia que es dueña de un bloque de direcciones IP, todas las demás le creen. No se exige ninguna prueba criptográfica.

Ese déficit estructural ha generado décadas de incidentes. En abril de 2010, China Telecom secuestró brevemente rutas para el 15% del tráfico global, redirigiéndolo a través de redes chinas durante 18 minutos. En 2018, atacantes secuestraron rutas BGP de los resolvers DNS de Amazon Route 53 para robar 152.000 dólares en criptomoneda Ethereum. En 2022, una configuración errónea en Vodafone Alemania provocó una fuga BGP que interrumpió la conectividad de millones de usuarios en toda Europa. No son casos aislados: los investigadores de CAIDA registraron más de 1700 eventos confirmados de secuestro BGP solo en 2023.

RPKI: el parche criptográfico disponible desde 2012

La Infraestructura de Clave Pública de Recursos (RPKI) es un Framework estandarizado por el IETF en el RFC 6480 (2012) que vincula la propiedad de direcciones IP a certificados criptográficos. Los operadores de red crean Route Origin Authorizations (ROAs) — declaraciones firmadas que indican “el Sistema Autónomo X es el origen legítimo del prefijo Y”. Los routers configurados para validar estas firmas pueden detectar y rechazar anuncios de ruta inválidos antes de que se propaguen.

RPKI no cifra el tráfico. No oculta las tablas de enrutamiento. Resuelve específicamente el problema de validación de origen: verificar que la red que afirma originar una ruta tiene derecho a hacerlo. Esto captura la mayoría de los secuestros BGP reales, ya sea por configuración accidental o por secuestro deliberado de prefijos por parte de actores maliciosos que se hacen pasar por redes legítimas.

Las matemáticas de la efectividad de RPKI son sólidas. Un estudio de 2023 del NIST y la Universidad de Maryland encontró que las redes con Enforcement de Route Origin Validation (ROV) rechazaron el 95% de los intentos de secuestro probados. Sin ROV, esas mismas redes aceptaron el 94% de los anuncios maliciosos.

Cifras de adopción: dónde está realmente internet en 2026

La adopción de RPKI se ha acelerado desde 2020, pero internet está lejos de estar protegido. A mayo de 2026, el dashboard de seguridad de enrutamiento del RIPE NCC muestra que aproximadamente el 47% de los prefijos IPv4 enrutados globalmente están cubiertos por ROAs válidos. Para IPv6, la cobertura ronda el 52%. Pero crear ROAs es solo la mitad de la ecuación: las redes también deben hacer Enforcement de la validación de origen de ruta, rechazando rutas que fallen las comprobaciones RPKI.

La adopción de Enforcement (ROV) va más rezagada. Las mediciones del observatorio MANRS (Mutually Agreed Norms for Routing Security) de Internet Society sugieren que aproximadamente el 35% de los Sistemas Autónomos aplican activamente la validación RPKI a principios de 2026. La brecha entre “tiene ROAs creados” y “realmente los aplica” es donde los secuestros siguen teniendo éxito.

Los grandes proveedores cloud son los líderes en adopción. Amazon Web Services, Google Cloud, Microsoft Azure y Cloudflare aplican RPKI ROV en sus redes. Cloudflare, en particular, ha publicado públicamente sus estadísticas de Enforcement, mostrando que rechaza millones de anuncios de ruta inválidos cada mes. Los rezagados son principalmente ISPs regionales del sudeste asiático, América Latina y partes de África, donde históricamente la inversión en seguridad de enrutamiento ha sido menor.

Por qué la adopción total se estanca: la realidad del operador

El caso técnico a favor de RPKI es inequívoco. Las barreras operativas son reales. Configurar RPKI requiere que los ingenieros de red mantengan una base de datos de ROAs precisa y actualizada, una disciplina que a menudo falta en los equipos existentes. Las ROAs obsoletas o incorrectas son en sí mismas un riesgo de fiabilidad: si la ROA de una red legítima caduca y no se actualiza, los routers que aplican RPKI rechazarán sus rutas como inválidas, causando una interrupción. Esta “ROA rot” ha provocado perturbaciones reales y hace que los operadores cautelosos se muestren reacios a activar el Enforcement estricto.

La jerarquía de autoridades de certificación también añade complejidad. El espacio de direcciones IP se delega a través de cinco Registros Regionales de Internet (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC), cada uno con su propio Trust Anchor para RPKI. Los operadores deben interactuar con su RIR para crear ROAs, un proceso que va desde portales de autoservicio sencillos (la interfaz de RIPE NCC se considera la mejor de su clase) hasta flujos de trabajo engorrosos basados en tickets.

También existe un problema de acción colectiva. Una red que aplica RPKI solo obtiene una protección parcial — una ruta inválida aún puede llegar a ella a través de un vecino que no aplica la validación. Los beneficios de seguridad generales requieren una adopción amplia, pero los operadores individuales asumen los costes operativos mientras que las externalidades positivas benefician a todos. Por eso los mandatos y la presión regulatoria importan: la directiva NIS2 de la UE, que entró en vigor en octubre de 2024, enumera explícitamente las medidas de seguridad de BGP, incluido RPKI, como controles técnicos esperados para los operadores de redes esenciales.

Más allá de RPKI: validación de ruta y BGPsec

RPKI con ROV valida que el AS de origen de una ruta es legítimo. No valida la ruta — la secuencia de ASes que un anuncio de ruta ha recorrido hasta llegar a tu router. Un atacante que tenga derechos legítimos de enrutamiento sobre algunos prefijos aún puede realizar ataques de “route leak” anunciando rutas con paths AS manipulados.

BGPsec (RFC 8205), una extensión que añade firmas criptográficas a cada salto en el path AS, es la respuesta teórica. En la práctica, BGPsec tiene un despliegue casi nulo porque requiere que todas las redes en un path lo soporten antes de que se materialicen los beneficios de seguridad a nivel de ruta. Un despliegue parcial no ofrece protección y sí una sobrecarga operativa significativa. El grupo de trabajo SIDROPS del IETF está desarrollando activamente alternativas más ligeras, incluida la Autorización de Proveedor de Sistema Autónomo (ASPA), que verifica las relaciones proveedor-cliente sin necesidad de firmas por salto completas.

ASPA está ganando tracción más rápido que BGPsec. A partir de 2025, RIPE NCC ha integrado la creación de objetos ASPA en su portal, y varios grandes ISPs europeos han comenzado a desplegarlo. ASPA puede detectar una categoría de fugas de ruta que el RPKI ROV puro no puede, específicamente escenarios donde un cliente reanuncia rutas recibidas de un proveedor a un proveedor diferente — un vector común en grandes interrupciones como la de Cloudflare en 2019 provocada por un pequeño ISP de Pensilvania.

Recomendaciones prácticas para operadores de red

Si operas cualquier infraestructura de red:

  • Crea ROAs ahora a través del portal de tu RIR (ARIN, RIPE NCC, APNIC, LACNIC o AFRINIC). El portal RPKI de RIPE NCC es el más intuitivo; ARIN ofrece opciones RPKI alojadas y delegadas. Esto es de bajo riesgo y protege inmediatamente a otras redes de secuestros accidentales originados desde tus prefijos.
  • Activa el Enforcement ROV en tus routers de borde. La mayoría de routers modernos (Juniper, Cisco, Nokia, Arista) soportan la validación RPKI de forma nativa. Pruébalo primero en modo de registro para identificar falsos positivos antes de pasar a Enforcement. Herramientas como Routinator, OctoRPKI de Cloudflare y Routinator de NLnet Labs pueden servir como tu validador RPKI local.
  • Únete a MANRS (manrs.org). El programa de Normas Mutuamente Acordadas para la Seguridad del Enrutamiento proporciona guía de implementación y responsabilidad pública. A mayo de 2026, MANRS cuenta con más de 900 redes participantes y es cada vez más referenciado en decisiones de contratación e interconexión.
  • Audita las fechas de caducidad de tus ROAs. La ROA rot es un riesgo operativo real. Automatiza la monitorización de caducidades: la mayoría de los portales RIR admiten alertas por correo electrónico, pero herramientas de terceros como el RPKI Dashboard de RIPE NCC o Cloudflare Radar proporcionan validación independiente.
  • Vigila el desarrollo de ASPA. Si tu organización tiene relaciones de peering complejas, los objetos ASPA acabarán mereciendo la pena desplegarlos junto con las ROAs de RPKI. Sigue el blog de RIPE NCC y la lista de correo SIDROPS del IETF para conocer las señales de preparación.

La infraestructura de enrutamiento de internet no va a arreglarse solo con la adopción orgánica. Los mandatos NIS2 de la UE y la presión continua de CISA sobre los operadores de infraestructuras críticas de EE.UU. están moviendo lentamente la aguja. Para los ingenieros de red y los equipos de seguridad, la ventana actual es una oportunidad para adelantarse a los requisitos de cumplimiento mientras las herramientas operativas han madurado hasta el punto en que el despliegue es genuinamente manejable.

BGPRPKIrouting securityinternet infrastructurenetwork-security
Compartir:
El secuestro de BGP sigue siendo un fallo estructural en el enrutamiento de internet — la adopción de RPKI es la solución | IRCNF - Intelligent Reliable Custom Next-gen Frameworks