IRCNF
Internet & Network

BGP Hijacking continua sendo uma falha estrutural no roteamento da Internet — a adoção de RPKI é a solução

Compartilhar:
BGP Hijacking continua sendo uma falha estrutural no roteamento da Internet — a adoção de RPKI é a solução

O Protocolo Que Sustenta a Internet Não Tem Autenticação Nativa

Toda vez que você acessa um site, seu tráfego cruza dezenas de sistemas autônomos gerenciados por ISPs, provedores de nuvem e empresas. Essas redes trocam informações de roteamento usando BGP, um protocolo criado em 1989 sem qualquer autenticação criptográfica. Quando uma rede anuncia que é dona de um bloco de endereços IP, todas as outras acreditam na informação sem verificação alguma.

Essa deficiência estrutural já causou décadas de incidentes. Em abril de 2010, a China Telecom sequestrou brevemente rotas de 15% do tráfego global da internet por 18 minutos. Em 2018, atacantes hijackearam rotas BGP dos resolvers DNS da Amazon Route 53 para roubar US$ 152 mil em Ethereum. O CAIDA registrou mais de 1.700 eventos confirmados de hijacking de BGP em 2023.

RPKI: Validação Criptográfica de Rotas Desde 2012

O Resource Public Key Infrastructure (RPKI), padronizado na RFC 6480 (2012), vincula a propriedade de endereços IP a certificados criptográficos. Operadores de rede criam Route Origin Authorizations (ROAs) — atestados assinados que confirmam qual Sistema Autônomo origina legitimamente um prefixo. Um estudo de 2023 da NIST/Universidade de Maryland constatou que redes com RPKI ROV enforcement rejeitaram 95% das tentativas de hijacking testadas.

Adoção em 2026

Em maio de 2026, aproximadamente 47% dos prefixos IPv4 roteados globalmente carregam ROAs válidos. A adoção de enforcement (ROV) gira em torno de 35% dos Sistemas Autônomos. AWS, Google Cloud, Microsoft Azure e Cloudflare já aplicam RPKI. Os retardatários são principalmente ISPs regionais no Sudeste Asiático, América Latina e África. A diretiva NIS2 da União Europeia (outubro de 2024) lista explicitamente segurança de BGP, incluindo RPKI, como controles técnicos obrigatórios para operadores de rede essenciais.

Além do RPKI: ASPA para Validação de Caminho

O RPKI valida a origem da rota, mas não o caminho AS. O BGPsec, a solução teórica de validação completa de caminho, tem implantação praticamente zero. O Autonomous System Provider Authorization (ASPA) está ganhando tração mais rápido — o RIPE NCC integrou a criação de ASPA em 2025, e grandes ISPs europeus já estão implementando. O ASPA detecta vazamentos de rota que o RPKI puro não consegue.

Ações Práticas

  • Crie ROAs pelo portal do seu RIR agora — a interface do RIPE NCC é a mais intuitiva.
  • Ative o ROV enforcement nos roteadores de borda usando Routinator, OctoRPKI ou o validador do NLnet Labs.
  • Participe do MANRS (manrs.org) — mais de 900 redes participantes em maio de 2026.
  • Audite as datas de expiração dos ROAs e automatize o monitoramento para evitar o apodrecimento dos ROAs.
  • Acompanhe o desenvolvimento do ASPA se sua organização tem relações de peering complexas.
BGPRPKIrouting securityinternet infrastructurenetwork-security
Compartilhar:
BGP Hijacking continua sendo uma falha estrutural no roteamento da Internet — a adoção de RPKI é a solução | IRCNF - Intelligent Reliable Custom Next-gen Frameworks