El sistema de enrutamiento de internet finalmente se está asegurando — dos décadas después de los primeros secuestros importantes
El 24 de febrero de 2008, Pakistan Telecom dejó a YouTube fuera de línea para todo el mundo. No con un ataque DDoS, ni con una orden judicial, sino difundiendo accidentalmente una ruta más específica para el espacio IP de YouTube. En cuestión de minutos, el tráfico destinado a YouTube.com fluía hacia la red de Pakistan Telecom y desaparecía en un vacío. La interrupción duró dos horas.
El incidente no fue único. Fue una demostración de manual de por qué el Border Gateway Protocol — el sistema de enrutamiento que sustenta todo internet — es fundamentalmente inseguro. Quince años después, los ingenieros finalmente están tomando medidas serias al respecto.
El problema con BGP
BGP es el protocolo que los sistemas autónomos (AS) — redes operadas por ISPs, proveedores de nube, universidades y empresas — utilizan para anunciar alcanzabilidad. Cuando tu tráfico viaja de una parte de internet a otra, salta entre estos sistemas autónomos según las tablas de enrutamiento BGP. El problema es que BGP fue diseñado en 1989 con una suposición simple: que todos los participantes son honestos.
Cualquier red puede anunciar que posee un espacio de direcciones IP que en realidad no posee. Otros enrutadores no tienen forma de verificarlo sin una infraestructura de validación externa. El resultado es el secuestro de rutas — ya sea accidental (malas configuraciones, dedos gordos) o deliberado (interceptación de tráfico, vigilancia, denegación de servicio).
Los incidentes se acumulan año tras año. En 2010, China Telecom anunció brevemente rutas para el 15% del espacio de direcciones de internet, redirigiendo tráfico a través de redes chinas durante 18 minutos. En 2018, el tráfico de los servicios de Google fue secuestrado a través de Nigeria. En 2020, Rostelecom secuestró más de 8,800 prefijos pertenecientes a Amazon, Google, Cloudflare y Akamai — afectando a aproximadamente 200 organizaciones.
RPKI: anclas criptográficas para el enrutamiento
Resource Public Key Infrastructure (RPKI) es la solución más madura de la industria para la validación de origen de rutas BGP. El concepto es sencillo: los titulares de direcciones IP crean registros firmados digitalmente — llamados Route Origin Authorizations (ROAs) — que atestiguan criptográficamente qué número de Sistema Autónomo está autorizado para anunciar un prefijo IP dado.
Cuando un enrutador recibe una actualización BGP, puede verificarla contra el repositorio RPKI. Si una red anuncia un prefijo para el que no está autorizada, la ruta se marca como "RPKI Invalid" y puede ser descartada. La cadena criptográfica lleva a los Registros Regionales de Internet (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) — las bases de datos autorizadas de asignación de direcciones IP.
La tecnología en sí ha sido estandarizada desde 2012 a través de una serie de RFCs del IETF. Lo que ha cambiado recientemente es la implementación a escala. A principios de 2026, más del 50% de la tabla de enrutamiento global tiene cobertura ROA válida — un umbral que se consideraba aspiracional hace solo tres años. Los principales IXPs, incluyendo AMS-IX, DE-CIX y LINX, ahora aplican filtrado RPKI. Cloudflare, AWS, Azure, Google y los principales carriers de nivel 1 han implementado la validación de origen.
MANRS: la capa social de la seguridad del enrutamiento
RPKI resuelve el problema técnico de demostrar quién posee qué. MANRS — Mutually Agreed Norms for Routing Security — aborda el problema de coordinación para que las redes realmente lo implementen.
Lanzado por Internet Society en 2014, MANRS es un marco de cuatro acciones: filtrado (solo aceptar rutas legítimas), anti-suplantación (evitar direcciones IP de origen falsificadas), coordinación (mantener información de contacto precisa para respuesta a incidentes) y validación global (implementar RPKI). En 2026, más de 1,000 redes se han unido a MANRS, incluyendo los mayores proveedores de nube e ISPs.
El incentivo comercial se está alineando gradualmente. Los grandes proveedores de nube y empresas exigen cada vez más la participación en MANRS como criterio de contratación para sus ISPs. El interés regulatorio también crece: la investigación de seguridad BGP de la FCC en 2024 puso en aviso a los ISPs de que la adopción voluntaria podría no seguir siendo voluntaria indefinidamente.
Lo que RPKI no resuelve
RPKI valida orígenes de ruta — que AS64496 está anunciando legítimamente 192.0.2.0/24. Lo que no puede validar es la ruta que toma el tráfico para llegar allí. BGPsec, una extensión más ambiciosa que firma criptográficamente toda la ruta AS, ha sido estandarizada pero enfrenta un problema de implementación del huevo y la gallina: solo funciona si la mayor parte de la ruta lo soporta, por lo que los primeros adoptantes no ven beneficio. La implementación incremental es casi imposible.
Los secuestros de ruta que involucran al AS de origen legítimo (pero manipulan la ruta descendente) permanecen invisibles para RPKI. E incluso con RPKI, un enrutador configurado para aceptar rutas "RPKI Invalid" — quizás por razones de compatibilidad heredada — no ofrece protección alguna. La tecnología solo es tan fuerte como su aplicación consistente.
Qué significa esto para las empresas
Las organizaciones con su propio espacio de direcciones IP — típicamente empresas lo suficientemente grandes como para tener un ASN — deberían crear ROAs para cada prefijo que originan. El proceso lleva horas, no semanas, e implica crear registros a través del portal de tu Registro Regional de Internet. No hacerlo significa que una mala configuración de cualquier ISP ascendente podría hacer que tu espacio IP parezca una ruta más específica, secuestrando tu tráfico sin base criptográfica para impugnarlo.
Para las empresas sin su propio ASN, la pregunta es si tu ISP ha implementado filtrado RPKI en tu nombre. La mayoría de los proveedores de nivel 1 ahora lo hacen; los ISPs de tránsito varían. El validador RPKI de Cloudflare y el monitor RPKI de RIPE ofrecen paneles públicos para verificar si tus prefijos están cubiertos correctamente.
El sistema de enrutamiento de internet no estará completamente asegurado solo con RPKI — BGPsec y la validación de ruta siguen siendo problemas abiertos. Pero después de dos décadas de incidentes de secuestro de rutas e inacción voluntaria, la base criptográfica finalmente se está estableciendo. El incidente de Pakistan Telecom de 2008 sería significativamente más difícil de lograr hoy. El progreso es real, aunque el trabajo no esté terminado.