China ha sido acusada de secuestrar el protocolo de puerta de enlace de frontera o BGP (del inglés Border Gateway Protocol) para llevar a cabo un espionaje encubierto man-in-the-middle a los países y empresas occidentales.
BGP gestiona como se enruta el tráfico entre las subdivisiones de Internet conocidas como Sistemas Autónomos. Estos aseguran que el tráfico llega a los servidores correctos, por lo que no tiene que estar andando por ahí, lo que serían malas noticias.
Normalmente, probar qué naciones están realizando actividades poco éticas en Internet con pruebas concluyentes es extremadamente difícil.
Esto también se debería aplicar al secuestro BGP, donde los ataques deliberados son muy difíciles de distinguir de un inocente error de configuración de un router.
Sin embargo, los autores de “China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking” dicen que han analizado datos de un sistema especial de route-tracing alojado en la Universidad de Tel Aviv que es capaz de detectar patrones poco usuales de BGP.
Desde 2016, les ayudó a detectar una serie de eventos inusuales de routing que consideran demasiado consistentes en su duración y escala para ser tomados por accidentes
¿Qué es el secuestro BGP?
El ejemplo sería la Autoridad de Telecomunicaciones de Pakistan (PTA) secuestrando el tráfico de YouTube para bloquear un vídeo polémico en 2008.
El planteamiento mal ejecutado de la PTA fue intentar socavar todo el tráfico de un subgrupo de IPs pertenecientes a Google que daban acceso al vídeo en ese país.
Esto se realizaba a través del BGP, que anunciaba a Pakistan Telecom como la ruta para esas direcciones, que otros routers BGP detectaban como más específicas que la propia ruta normal de Google.
Los routers BGP están programados para favorecer esta especificidad por lo que se propagó esta nueva ruta por todo Internet.
El resultado: YouTube caído por dos horas a nivel global ya que su tráfico se enviaba a Pakistan Telecom quien lo eliminaba.
Ha habido otros incidentes incluso más extraños como uno en 2010 en el que una configuración errónea BGP de China Telecom hizo que el 15% del tráfico mundial de Internet pasara por puntos de presencia (POPs) controlados por la empresa.
Segunda entrega
Los expertos afirman que China Telecom ha estado haciendo esencialmente lo mismo, abusar del BGP para enrutar el tráfico internacional hacia sus POPs, de los que tiene 8 en EEUU y 2 en Canadá.
Esto incluye meses de “secuestrar” rutas de Canadá a Corea en 2016, en la que el tráfico daba rodeos hacia China antes de completar su viaje.
O el tráfico de EEUU hacia un banco en Milán, Italia que fue desviado a un POP de China Telecom pero que nunca llegó a su destino.
Los investigadores ofrecieron más ejemplos que según ellos demostraba que no se trataba de un comportamiento “normal” del BGP, si no que sugería una mala intención debido a sus características inusuales como rutas largas y duraciones anormales.
Una defensa contra el secuestro BGP es el cifrado TLS. No para el espionaje, pero debería hacer que ese tráfico fuera ininteligible.
Quizás otra preocupación que todos nos callamos es que además de China, existan otros países con recursos y motivaciones similares que estén haciendo lo mismo. Un argumento más, si es que fuera necesario, para cifrar todas las comunicaciones.
Se están desarrollando soluciones para el problema del BGP como BGP Route Origin Validation (ROV), pero pueden pasar años antes de que se implementen.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: