BGP tem 35 anos e ainda mantém a Internet unida — Eis por que isso é um problema
Em 1989, dois engenheiros em uma reunião esboçaram um protocolo de roteamento em guardanapos. O protocolo — o Border Gateway Protocol, ou BGP — foi concebido como uma solução rápida para o crescente problema de como redes independentes deveriam informar umas às outras para onde enviar tráfego. Era funcional, pragmático e quase completamente sem segurança. Agora é a base da Internet global, e assim tem sido por 35 anos.
BGP não é um software com o qual a maioria das pessoas interage. É o protocolo que roda entre os roteadores nas bordas de cada rede importante — todo provedor de serviços de Internet, todo provedor de nuvem, toda empresa com seu próprio espaço de endereços IP. Quando você carrega uma página da web, o BGP garante que sua solicitação viaje pela sequência correta de redes para chegar ao servidor certo. Sem ele, a Internet é um conjunto de ilhas isoladas. Com ele, é um espaço de endereços único acessível de aproximadamente 4,3 bilhões de endereços IPv4.
Como o BGP realmente funciona
A Internet é organizada em Sistemas Autônomos (ASes) — redes independentes operadas por uma única organização. Seu ISP é um AS. A Amazon Web Services é um AS. Uma universidade com sua própria infraestrutura de rede é um AS. Cada AS tem um número (um ASN, atribuído pelos registros regionais de Internet) e um conjunto de prefixos IP — faixas de endereços que controla.
BGP é o protocolo que os ASes usam para anunciar seus prefixos aos seus vizinhos e aprender as rotas uns dos outros. Quando o AS-A deseja alcançar um prefixo de propriedade do AS-Z, ele depende de uma cadeia de anúncios BGP: o roteador do AS-A sabe que o AS-B tem uma rota para o AS-Z, o AS-B sabe que o AS-C tem, e assim por diante. O protocolo é baseado em confiança: quando um AS anuncia "eu tenho uma rota para esses endereços IP", os ASes vizinhos aceitam esse anúncio e o propagam adiante. Não há verificação criptográfica. Não há autoridade central. Se um AS anuncia um prefixo que não possui, o anúncio se propaga globalmente.
Isso é um sequestro de BGP. E acontece regularmente.
Falhas famosas
Em 2010, a China Telecom anunciou aproximadamente 15% das rotas globais da Internet através de sua rede por cerca de 18 minutos. O tráfego destinado a sites militares dos EUA, Dell, IBM e centenas de outras organizações foi brevemente roteado pela infraestrutura chinesa. O incidente foi provavelmente acidental — uma configuração incorreta em vez de interceptação deliberada — mas demonstrou a escala de exposição.
Em 2019, um pequeno provedor de serviços de Internet na Pensilvânia anunciou acidentalmente 20.000 rotas que não possuía, fazendo com que o tráfego da Amazon, Cloudflare, Facebook e muitos outros fosse roteado por uma rede com capacidade insuficiente. O resultado: lentidão e interrupções generalizadas que afetaram milhões de usuários por várias horas.
Em 2021, o próprio erro de configuração de BGP do Facebook — combinado com uma falha de DNS — tirou todos os serviços do Facebook (Facebook, Instagram, WhatsApp) completamente offline por seis horas. A retirada dos prefixos BGP do Facebook significou que mesmo que o DNS estivesse funcionando, o tráfego não conseguia alcançar sua infraestrutura. Restaurar o serviço exigiu que engenheiros acessassem fisicamente o hardware do data center porque as ferramentas normais de gerenciamento remoto também não conseguiam se conectar.
O padrão nesses incidentes é consistente: o modelo de confiança do BGP significa que erros e anúncios maliciosos se propagam na velocidade da Internet, e as correções levam tempo para filtrar através de centenas de sistemas autônomos.
RPKI: A correção que está levando décadas para ser implantada
A Infraestrutura de Chave Pública de Recursos (RPKI) é a estrutura criptográfica projetada para corrigir o problema de confiança do BGP. O RPKI permite que os titulares de endereços IP criem certificados assinados digitalmente — Autorizações de Origem de Rota (ROAs) — que atestam criptograficamente quais ASes estão autorizados a originar quais prefixos. Um roteador que faz validação RPKI pode rejeitar anúncios que não tenham uma ROA válida, fechando a porta para a maioria dos cenários de sequestro.
O RPKI está tecnicamente disponível desde o início dos anos 2010. A adoção tem sido lenta por razões estruturais: cada rede precisa fazer duas coisas — assinar seus próprios prefixos (validação de origem) e validar anúncios de pares (validação de origem de rota). A segunda etapa só fornece proteção proporcional a quantas redes estão fazendo a primeira. É um problema de coordenação em escala da Internet.
O progresso acelerou. A partir de 2026, aproximadamente 40% da tabela de roteamento global está coberta por ROAs válidas. Grandes redes — Cloudflare (que tem sido a defensora mais vocal do RPKI), AT&T, Comcast, Deutsche Telekom e a maioria dos grandes provedores de nuvem — agora impõem validação RPKI em seus links de peering. O MANRS (Normas Mutuamente Acordadas para Segurança de Roteamento) rastreia a conformidade, e a porcentagem de redes em conformidade com MANRS cresceu significativamente desde 2022.
Os 60% restantes da tabela de roteamento são uma cauda longa teimosa. ISPs menores e redes regionais frequentemente não possuem os recursos de engenharia para implementar RPKI, ou têm equipamentos legados que não o suportam. Alguns têm razões comerciais para evitar a filtragem de rotas (a filtragem pode afetar a receita de peering). O problema está concentrado em regiões em desenvolvimento onde a modernização dos ISPs é mais lenta.
Além do RPKI: BGPsec e validação de caminho
O RPKI resolve a validação de origem — confirmar que o AS que anuncia um prefixo está autorizado a fazê-lo. Ele não resolve a validação de caminho — confirmar que o caminho AS em um anúncio BGP reflete com precisão o caminho real que o tráfego percorrerá. Um ataque (ou configuração incorreta) mais sofisticado ainda pode injetar informações falsas de caminho AS mesmo com o RPKI em vigor.
BGPsec é a solução proposta: uma assinatura criptográfica completa de todo o caminho AS para cada anúncio de rota. Ela forneceria garantias de segurança muito mais fortes. Também exigiria que cada roteador no caminho suportasse e realizasse a validação BGPsec, criaria uma sobrecarga computacional significativamente maior e exigiria uma atualização coordenada global da infraestrutura de roteamento. O consenso entre engenheiros de rede é que o BGPsec é caro demais para ser implantado em escala da Internet no curto prazo.
O roteiro prático é: terminar a implantação do RPKI para validação de origem (nos próximos 5 anos), depois avaliar a segurança do caminho incrementalmente usando uma mistura de políticas de filtragem de rotas, RPKI e infraestrutura de monitoramento. Organizações como RIPE NCC e ARIN publicam painéis de monitoramento BGP em tempo real que permitem que operadores detectem sequestros em minutos, em vez das horas que costumava levar.
O que isso significa para a confiabilidade
A fragilidade do BGP é estrutural, não acidental. O protocolo foi projetado para uma Internet diferente — uma com um pequeno número de participantes confiáveis conectando universidades e instituições de pesquisa. A decisão de estendê-lo a uma infraestrutura comercial global com centenas de milhares de participantes, muitos com incentivos adversos, nunca foi uma escolha de design deliberada. Aconteceu por padrão, porque não havia alternativa pronta quando a Internet precisou escalar.
A Internet tem vivido com essa troca por 35 anos. A implantação lenta do RPKI representa o primeiro esforço sistemático para adicionar propriedades de segurança a um protocolo que nunca foi projetado para tê-las. Está funcionando — incidentes de sequestro de BGP que viram manchetes hoje são mais raros e mais curtos do que em 2015 ou 2019, porque mais redes agora rejeitam anúncios de rota inválidos automaticamente. Mas "menos frequente" e "raro" não são o mesmo que "resolvido", e para uma infraestrutura que transporta o comércio mundial, registros de saúde e comunicações, a lacuna entre esses dois estados ainda importa.