BGP tiene 35 años y aún mantiene unido el Internet — He aquí por qué eso es un problema
En 1989, dos ingenieros en una reunión esbozaron un protocolo de enrutamiento en servilletas. El protocolo — el Protocolo de Puerta de Enlace Fronteriza, o BGP — fue concebido como una solución rápida para el creciente problema de cómo las redes independientes deberían indicarse entre sí dónde enviar tráfico. Era funcional, pragmático y casi completamente carente de seguridad. Ahora es el fundamento de Internet global, y lo ha sido durante 35 años.
BGP no es un software con el que la mayoría de la gente interactúe. Es el protocolo que se ejecuta entre los enrutadores en los bordes de cada red importante — todo proveedor de servicios de Internet, todo proveedor de nube, toda empresa con su propio espacio de direcciones IP. Cuando cargas una página web, BGP asegura que tu solicitud viaje a través de la secuencia correcta de redes para llegar al servidor adecuado. Sin él, Internet es un conjunto de islas aisladas. Con él, es un espacio de direcciones accesible único de aproximadamente 4.3 mil millones de direcciones IPv4.
Cómo funciona realmente BGP
Internet está organizado en Sistemas Autónomos (ASes) — redes independientes operadas por una sola organización. Tu ISP es un AS. Amazon Web Services es un AS. Una universidad con su propia infraestructura de red es un AS. Cada AS tiene un número (un ASN, asignado por los registros regionales de Internet) y un conjunto de prefijos IP — rangos de direcciones que controla.
BGP es el protocolo que los ASes utilizan para anunciar sus prefijos a sus vecinos y aprender las rutas de los demás. Cuando AS-A quiere alcanzar un prefijo propiedad de AS-Z, se basa en una cadena de anuncios BGP: el enrutador de AS-A sabe que AS-B tiene una ruta hacia AS-Z, AS-B sabe que AS-C la tiene, y así sucesivamente. El protocolo se basa en la confianza: cuando un AS anuncia "tengo una ruta hacia estas direcciones IP", los ASes vecinos aceptan ese anuncio y lo propagan más. No hay verificación criptográfica. No hay una autoridad central. Si un AS anuncia un prefijo que no posee, el anuncio se propaga globalmente.
Esto es un secuestro de BGP. Y ocurre con regularidad.
Fallos famosos
En 2010, China Telecom anunció aproximadamente el 15% de las rutas globales de Internet a través de su red durante unos 18 minutos. El tráfico destinado a sitios militares de EE.UU., Dell, IBM y cientos de otras organizaciones fue enrutado brevemente a través de la infraestructura china. El incidente fue probablemente accidental — una configuración incorrecta más que una interceptación deliberada — pero demostró la escala de exposición.
En 2019, un pequeño proveedor de servicios de Internet en Pensilvania anunció accidentalmente 20,000 rutas que no poseía, lo que provocó que el tráfico de Amazon, Cloudflare, Facebook y muchos otros pasara por una red con capacidad insuficiente. El resultado: ralentizaciones y cortes generalizados que afectaron a millones de usuarios durante varias horas.
En 2021, el propio error de configuración de BGP de Facebook — combinado con una falla de DNS — dejó todos los servicios de Facebook (Facebook, Instagram, WhatsApp) completamente fuera de línea durante seis horas. La retirada de los prefijos BGP de Facebook significó que incluso si el DNS hubiera funcionado, el tráfico no podía llegar a su infraestructura. Restaurar el servicio requirió que los ingenieros accedieran físicamente al hardware del centro de datos porque las herramientas de gestión remota normales tampoco podían conectarse.
El patrón en estos incidentes es consistente: el modelo de confianza de BGP significa que los errores y los anuncios maliciosos se propagan a la velocidad de Internet, y las correcciones tardan en filtrarse a través de cientos de sistemas autónomos.
RPKI: La solución que está tomando décadas en implementarse
La Infraestructura de Clave Pública de Recursos (RPKI) es el marco criptográfico diseñado para solucionar el problema de confianza de BGP. RPKI permite a los titulares de direcciones IP crear certificados firmados digitalmente — Autorizaciones de Origen de Ruta (ROAs) — que afirman criptográficamente qué ASes están autorizados a originar qué prefijos. Un enrutador que realiza validación RPKI puede rechazar anuncios que no tengan una ROA válida, cerrando la puerta a la mayoría de los escenarios de secuestro.
RPKI ha estado técnicamente disponible desde principios de la década de 2010. La adopción ha sido lenta por razones estructurales: cada red necesita hacer dos cosas — firmar sus propios prefijos (validación de origen) y validar anuncios de pares (validación de origen de ruta). El segundo paso solo proporciona protección en proporción a cuántas redes están haciendo el primero. Es un problema de coordinación a escala de Internet.
El progreso se ha acelerado. A partir de 2026, aproximadamente el 40% de la tabla de enrutamiento global está cubierta por ROAs válidas. Las grandes redes — Cloudflare (que ha sido el defensor más vocal de RPKI), AT&T, Comcast, Deutsche Telekom y la mayoría de los grandes proveedores de nube — ahora aplican validación RPKI en sus enlaces de interconexión. MANRS (Normas Mutuamente Acordadas para la Seguridad del Enrutamiento) rastrea el cumplimiento, y el porcentaje de redes conformes con MANRS ha crecido significativamente desde 2022.
El 60% restante de la tabla de enrutamiento es una cola larga y obstinada. Los ISP más pequeños y las redes regionales a menudo carecen de los recursos de ingeniería para implementar RPKI, o tienen equipos heredados que no lo soportan. Algunos tienen razones comerciales para evitar el filtrado de rutas (el filtrado puede afectar los ingresos por interconexión). El problema se concentra en regiones en desarrollo donde la modernización de los ISP es más lenta.
Más allá de RPKI: BGPsec y validación de ruta
RPKI resuelve la validación de origen — confirmar que el AS que anuncia un prefijo está autorizado para hacerlo. No resuelve la validación de ruta — confirmar que la ruta AS en un anuncio BGP refleja con precisión la ruta real que tomará el tráfico. Un ataque (o configuración incorrecta) más sofisticado aún puede inyectar información falsa de ruta AS incluso con RPKI implementado.
BGPsec es la solución propuesta: una firma criptográfica completa de toda la ruta AS para cada anuncio de ruta. Proporcionaría garantías de seguridad mucho más sólidas. También requeriría que cada enrutador en la ruta admita y realice la validación BGPsec, crearía una sobrecarga computacional significativamente mayor y requeriría una actualización coordinada global de la infraestructura de enrutamiento. El consenso entre los ingenieros de redes es que BGPsec es demasiado costoso para implementarlo a escala de Internet en el corto plazo.
La hoja de ruta práctica es: terminar el despliegue de RPKI para la validación de origen (los próximos 5 años), luego evaluar la seguridad de la ruta de forma incremental utilizando una combinación de políticas de filtrado de rutas, RPKI e infraestructura de monitoreo. Organizaciones como RIPE NCC y ARIN publican paneles de monitoreo de BGP en tiempo real que permiten a los operadores detectar secuestros en minutos en lugar de las horas que solía llevar.
Lo que esto significa para la fiabilidad
La fragilidad de BGP es estructural, no accidental. El protocolo fue diseñado para un Internet diferente — uno con un pequeño número de participantes confiables que conectaban universidades e instituciones de investigación. La decisión de extenderlo a una infraestructura comercial global con cientos de miles de participantes, muchos con incentivos adversarios, nunca fue una elección de diseño deliberada. Ocurrió por defecto, porque no había una alternativa lista cuando Internet necesitaba escalar.
Internet ha vivido con esa compensación durante 35 años. El lento despliegue de RPKI representa el primer esfuerzo sistemático para agregar propiedades de seguridad a un protocolo que nunca fue diseñado para tenerlas. Está funcionando — los incidentes de secuestro de BGP que son noticia hoy son más raros y de menor duración que en 2015 o 2019, porque más redes ahora rechazan anuncios de ruta inválidos automáticamente. Pero "menos frecuente" y "raro" no son lo mismo que "resuelto", y para una infraestructura que transporta el comercio mundial, los registros de atención médica y las comunicaciones, la brecha entre esos dos estados aún importa.