Sistema de roteamento da internet finalmente ganha segurança — duas décadas após os primeiros grandes sequestros de rotas
Em 24 de fevereiro de 2008, a Pakistan Telecom tirou o YouTube do ar para o mundo inteiro. Não com um ataque DDoS, não com uma ordem judicial — mas ao anunciar acidentalmente uma rota mais específica para o espaço IP do YouTube. Em minutos, o tráfego destinado a YouTube.com estava fluindo para a rede da Pakistan Telecom e desaparecendo no vácuo. A interrupção durou duas horas.
O incidente não foi isolado. Foi uma demonstração clássica de por que o Border Gateway Protocol — o sistema de roteamento que sustenta toda a internet — é fundamentalmente inseguro. Quinze anos depois, engenheiros finalmente estão fazendo algo sério a respeito.
O problema do BGP
BGP é o protocolo que sistemas autônomos (AS) — redes operadas por provedores de internet, provedores de nuvem, universidades e empresas — usam para anunciar acessibilidade. Quando seu tráfego viaja de uma parte da internet para outra, ele salta entre esses sistemas autônomos de acordo com as tabelas de roteamento BGP. O problema é que o BGP foi projetado em 1989 com uma suposição simples: que todos os participantes são honestos.
Qualquer rede pode anunciar que possui um espaço de endereço IP que na verdade não possui. Outros roteadores não têm como verificar isso sem uma infraestrutura de validação externa. O resultado é o sequestro de rotas — acidental (configurações erradas, dedos gordos) ou deliberado (interceptação de tráfego, vigilância, negação de serviço).
Os incidentes se acumulam ano após ano. Em 2010, a China Telecom anunciou brevemente rotas para 15% do espaço de endereços da internet, redirecionando o tráfego por redes chinesas por 18 minutos. Em 2018, o tráfego dos serviços do Google foi sequestrado através da Nigéria. Em 2020, a Rostelecom sequestrou mais de 8.800 prefixos pertencentes à Amazon, Google, Cloudflare e Akamai — afetando cerca de 200 organizações.
RPKI: âncoras criptográficas para roteamento
Resource Public Key Infrastructure (RPKI) é a solução mais madura da indústria para validação de origem de rotas BGP. O conceito é direto: os detentores de endereços IP criam registros assinados digitalmente — chamados Route Origin Authorizations (ROAs) — que atestam criptograficamente qual número de Sistema Autônomo está autorizado a anunciar um determinado prefixo IP.
Quando um roteador recebe uma atualização BGP, ele pode verificá-la no repositório RPKI. Se uma rede anuncia um prefixo para o qual não está autorizada, a rota é marcada como "RPKI Invalid" e pode ser descartada. A cadeia criptográfica leva aos Registros Regionais de Internet (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) — os bancos de dados autoritativos de alocação de endereços IP.
A tecnologia em si é padronizada desde 2012 através de uma série de RFCs do IETF. O que mudou recentemente é a implantação em escala. No início de 2026, mais de 50% da tabela de roteamento global tem cobertura ROA válida — um limiar que era considerado aspiracional apenas três anos atrás. Grandes IXPs, incluindo AMS-IX, DE-CIX e LINX, agora aplicam filtragem RPKI. Cloudflare, AWS, Azure, Google e as principais operadoras tier-1 já implantaram validação de origem.
MANRS: a camada social da segurança de roteamento
RPKI resolve o problema técnico de provar quem possui o quê. MANRS — Mutually Agreed Norms for Routing Security — aborda o problema de coordenação de fazer as redes realmente implementarem isso.
Lançado pela Internet Society em 2014, MANRS é um framework de quatro ações: filtragem (aceitar apenas rotas legítimas), anti-spoofing (prevenir endereços IP de origem falsificados), coordenação (manter informações de contato precisas para resposta a incidentes) e validação global (implementar RPKI). Em 2026, mais de 1.000 redes aderiram ao MANRS, incluindo os maiores provedores de nuvem e ISPs.
O incentivo comercial está gradualmente se alinhando. Grandes provedores de nuvem e empresas cada vez mais exigem participação no MANRS de seus ISPs como critério de aquisição. O interesse regulatório também está crescendo — a investigação de segurança BGP da FCC em 2024 colocou os ISPs em alerta de que a adoção voluntária pode não permanecer voluntária indefinidamente.
O que o RPKI não resolve
RPKI valida origens de rota — que o AS64496 está legitimamente anunciando 192.0.2.0/24. O que ele não pode validar é o caminho que o tráfego percorre para chegar lá. BGPsec, uma extensão mais ambiciosa que assina criptograficamente todo o caminho AS, foi padronizada, mas enfrenta um problema de implantação do tipo ovo e galinha: só funciona se a maior parte do caminho suportá-lo, então os primeiros adotantes não veem benefício. A implantação incremental é quase impossível.
Sequestros de rota que envolvem o AS de origem legítimo (mas manipulam o caminho downstream) permanecem invisíveis para o RPKI. E mesmo com RPKI, um roteador configurado para aceitar rotas "RPKI Invalid" — talvez por razões de compatibilidade legada — não oferece proteção alguma. A tecnologia é tão forte quanto a aplicação consistente.
O que isso significa para as empresas
Organizações com seu próprio espaço de endereço IP — tipicamente empresas grandes o suficiente para ter um ASN — devem criar ROAs para cada prefixo que originam. O processo leva horas, não semanas, e envolve criar registros através do portal do seu Registro Regional de Internet. Não fazer isso significa que uma configuração errada de qualquer ISP upstream pode acidentalmente fazer seu espaço IP parecer uma rota mais específica, sequestrando seu tráfego sem base criptográfica para contestação.
Para empresas sem ASN próprio, a questão é se seu ISP implantou filtragem RPKI em seu nome. A maioria dos provedores tier-1 agora o faz; ISPs de trânsito variam. O validador RPKI da Cloudflare e o monitor RPKI da RIPE oferecem painéis públicos para verificar se seus prefixos estão cobertos adequadamente.
O sistema de roteamento da internet não será totalmente seguro apenas com RPKI — BGPsec e validação de caminho permanecem problemas em aberto. Mas depois de duas décadas de incidentes de sequestro de rota e inação voluntária, a base criptográfica está finalmente sendo estabelecida. O incidente da Pakistan Telecom em 2008 seria significativamente mais difícil de realizar hoje. O progresso é real, mesmo que o trabalho não esteja concluído.