LACNIC

Enrutamiento

Los incidentes de ruteo como puerta de ingreso para los ciberataques

29/06/2020

Augusto Mathurin- Consultor del proyecto FORT

Cada vez estamos más conectados y la convergencia entre nuestra vida digital y analógica aumenta cada día. Este fenómeno, que de por sí ya incrementa con una velocidad considerable, se vio aún más acelerado con la crisis provocada por la pandemia del COVID-19. Una consecuencia natural de contar con más dispositivos conectados y personas dependiendo de esas conexiones, es el aumento de actores que realicen acciones malintencionadas en la red, y con ello el incremento de los intentos de ciberataques.

Las noticias relacionadas incidentes y ataques en la red ya forman parte de los portales informativos convencionales hace tiempo, pero por lo general, estas noticias se centran en eventos que ocurren en las capas superiores de Internet dejando de lado «sus cañerías», es decir, la capa de ruteo. Cuando aún queda mucho camino por recorrer para poder asegurar que los incidentes de ruteo no sean significativos.

Aunque el público general desconoce que tan expuesta está la red en este nivel, la comunidad técnica lleva tiempo abordando este desafío mediante el desarrollo y despliegue de distintas soluciones.

LACNIC en conjunto con NIC.MX han desarrollado el proyecto FORT, que lleva a cabo su campaña de despliegue de RPKI en América Latina y el Caribe, para aumentar la seguridad y resiliencia de los sistemas de enrutamiento. Otras organizaciones como Internet Society, abordan este problema desde su iniciativa MANRS, que provee soluciones para reducir las principales amenazas de ruteo. Su objetivo es dar soporte tanto a operadores de red (ISP) como a puntos de intercambio de Internet (IXP). Esta problemática incluso ha formado parte de la agenda del Foro Económico Mundial, que ha tratado este tema generando un reporte con Principios de Prevención del Cibercrimen para los Proveedores de Internet. El cuarto de estos principios que enuncia es «Apuntalar la seguridad del ruteo y señalización para reforzar una defensa efectiva contra los ataques», en el cual se recomiendan las acciones propuestas por la iniciativa de MANRS. Por otra parte, operadores de red como Cloudflare, uno de los proveedores de infraestructura en la nube más grandes a nivel global, ya hace años que realiza campañas de promoción y despliegue de medidas como RPKI. Recientemente ha expresado que ya es hora que los operadores de red eviten que los hijacks y leaks tengan un impacto. Ya es hora de hacer que BGP sea seguro y no hay excusas.

¿Por qué todas estas organizaciones están tan enfocadas en asegurar la capa de ruteo de internet? ¿Cuáles son las consecuencias de no atender su seguridad?

En primer lugar, es clave conocer cuáles son los actores que tienen intereses en provocar estos ciberataques, que no necesariamente sean directos al enrutamiento de internet, para entender cuáles son sus principales objetivos y cómo las vulnerabilidades en la capa de ruteo son una posible puerta para lograrlos.

Por un lado, tenemos a los responsables de la actividad ilícita en línea, que según el informe del Foro Económico Mundial alcanzará un costo de 6 billones de USD para 2021. Esta actividad es llevada a cabo por una enorme diversidad de grupos, que actúan con mayores o menores grados de escala y sofisticación. En su conjunto la actividad que realizan es enorme, y para darse una idea solo basta con buscar en nuestras bandejas de correos no deseados de nuestras casillas personales de email para ver cuántos correos maliciosos intentan realizar estafas de forma masiva.

Por otra parte, muchos gobiernos intentan censurar y controlar la actividad en línea. Gran parte de los nuevos usuarios de Internet, los que comenzaron a conectarse recientemente o los que se conectarán por primera vez en un futuro cercano, viven en sociedades altamente censuradas. Diversos estudios han comprobado las acciones institucionales que tienen el fin de provocar bloqueos a cierto tipo de contenido en diversos momentos. OONI (Open Observatory of Network Interference) es un proyecto cuyo objetivo es descentralizar los intentos de transparentar los esfuerzos de censura en Internet alrededor del mundo, que partir de herramientas de software libre detectan estos bloqueos y generan una serie de informes en los cuales exponen cuando ciertos usuarios de Internet están siendo víctimas de censura.

En síntesis, existen ataques de espionaje, censura, o fraudes, por mencionar algunos. Pero, ¿Cómo un atacante puede valerse de explotar la capa de ruteo para lograr estos objetivos? ¿Existe un riesgo real?

Como ha ocurrido con la mayoría de los protocolos de Internet, BGP fue ideado para un escenario muy distinto al actual, a finales de los años 80, cuando solo era necesario conectar un puñado de redes. En esos momentos, la seguridad no era un principio central a tener en cuenta, por lo que el protocolo se basó fuertemente en un juego de confianza entre las partes. Hoy en día la realidad es otra. Con casi 100.000 sistemas autónomos registrados, ya no puede asumirse que todos sus participantes son confiables.

Cuando ingresamos a un sitio web, por ejemplo, ambos extremos (nuestro dispositivo y el servidor que aloja el portal) poseen una dirección IP que permite identificarlos. Así, los paquetes de datos tienen un origen y un destino. Para llegar de un extremo al otro, los paquetes viajarán por distintas redes y sistemas autónomos intermedios, rutas que se generan a partir de anuncios del protocolo BGP.

Cuando un sistema autónomo, ya sea por malicia o por error realiza un anuncio incorrecto, puede generar que el tránsito se desvíe hacia ellos. Una vez que el tráfico se logra redireccionar de esta forma, es posible lograr ataques mencionados previamente.

Imagen que contiene texto, mapa

Descripción generada automáticamente

Imagen 1: Distintos ciberataques que pueden resultar a partir de un incidente de ruteo

Si bien cada vez hay mayores esfuerzos de parte de los operadores de red implementando filtrado y RPKI, e iniciativas de apoyo como el Proyecto FORT de LACNIC, aún siguen ocurriendo incidentes significativos a diario. Incluso algunos logran un impacto contundente.

El 6 de junio de 2019, la compañía suiza Safe Host (AS21217) provocó una fuga de más de 70.000 rutas hacia China Telecom (AS4134), quien a su vez anunció estas rutas hacia el resto de internet. Esto generó que gran parte del tráfico de operadores móviles europeos sea desviado hacia la red de China Telecom.

El 1 de abril de 2020, el mayor ISP ruso, Rostelecom (AS12389) anunció prefijos de grandes jugadores de internet como Akamai, Amazon AWS, Cloudflare, Digital Ocean, entre otros. Este secuestro de rutas fue ejecutado durante aproximadamente una hora y afectó durante algunos minutos a operadores importantes como Cogent (AS174) y Level3 (AS3356) que a su vez propagaron estos anuncios al resto del mundo. Esto generó inconvenientes en un número importante de ISPs.

Captura de pantalla de un celular

Descripción generada automáticamente

Imagen 2: Evolución de los incidentes de ruteo en los últimos años (fuente: https://bgpstream.com/)

Para conocer más casos de incidentes que han causado impacto en la red, se puede consultar el reporte diagnóstico del proyecto FORT, que además analiza incidentes de ruteo y secuestros de ruta en esta región durante los últimos años y explica con más detalle los distintos tipos de incidentes posibles en el protocolo BGP y como pueden provocarse.

Además, se puede consultar la herramienta de monitoreo FORT, que presenta, de manera simplificada, datos sobre el estado de la seguridad de ruteo en América Latina y el Caribe y su impacto sobre los usuarios finales de Internet. Por ejemplo, el mismo indica que en los últimos 3 meses han ocurrido 5 secuestros de ruta sobre la infraestructura crítica.

Mucho ha ocurrido desde aquel incidente de ruteo del AS7007 en 1997, hasta el día de hoy. Las cifras generadas por ataques y problemas de enrutamiento se vuelven incalculables en la práctica, cuantas de horas de portales y servicios de internet sin poder ser accesibles, el dinero perdido por fraudes exitosos como el hijack de Route53 de Amazon DNS, o la inmensa cantidad de tráfico de internet interceptado por sistemas autónomos desconocidos. El ruteo ya no puede depender de la buena voluntad de sus casi 100.000 sistemas autónomos, y la infraestructura ha madurado con el desarrollo herramientas y buenas prácticas necesarias para mitigar este tipo de incidentes.

Si bien la mayor cantidad de esfuerzos parecen centrarse en la seguridad de las capas superiores de Internet, y es cierto que medidas de protección implementadas a ese nivel, como el cifrado extremo a extremo reducen el impacto de los ataques al sistema de enrutamiento de la red, no se podrá asegurar que contamos con un Internet seguro y confiable si los operadores de red no continúan su trabajo para fortalecer el sistema de ruteo.