Durante más de una hora a principios de abril, los principales sitios como Google y Facebook buscaron a grandes grupos de personas. El culpable no fue un truco o un error. Fueron problemas con el estándar de enrutamiento de datos de Internet conocido como Border Gateway Protocol, lo que permitió que cantidades significativas de tráfico web tomaran un desvío inesperado a través de una empresa de telecomunicaciones rusa. Para el CEO de Cloudflare, Matthew Prince, fue la gota que colmó el vaso.
Las interrupciones de BGP ocurren con frecuencia, generalmente por accidente. Pero BGP también puede ser secuestrado para espionaje a gran escala, interceptación de datos o como una especie de ataque de denegación de servicio. La semana pasada, las agencias del Poder Ejecutivo de los Estados Unidos se movieron para impedir que China Telecom ofreciera servicios en los EE. UU., debido a actividades supuestamente maliciosas que incluyen ataques BGP. Empresas como Cloudflare se sientan en la primera línea del retroceso de BGP. Y aunque la empresa no puede solucionar el problema directamente, puede señalar a aquellos que tardan en contribuir con las defensas.
El viernes, la compañía lanzó Is BGP Safe Yet, un sitio que facilita que cualquier persona verifique si su proveedor de servicios de Internet ha agregado las protecciones de seguridad y los filtros que pueden hacer que BGP sea más estable. Esas mejoras son más efectivas con una amplia adopción de ISP, redes de entrega de contenido como Cloudflare y otros proveedores de nube. Cloudflare estima que, hasta el momento, aproximadamente la mitad de Internet está más protegida gracias a que grandes bateadores como AT&T, la empresa de telecomunicaciones sueca Telia y la empresa de telecomunicaciones japonesa NTT han adoptado mejoras de BGP. Y aunque Cloudflare dice que no parece que el incidente de Rostelecom haya sido intencional o malicioso, las telecomunicaciones rusas tienen un historial de intromisión sospechosa de BGP, y problemas similares seguirán surgiendo hasta que toda la industria esté a bordo.
“Con la última gran fuga de ruta de hace unas semanas fuera de Rusia, fue un punto en el que nuestro equipo de ingeniería dijo basta, es hora de que comencemos a nombrar y avergonzar a las empresas que no están haciendo esto bien”, dice. El director ejecutivo de Cloudflare, Matthew Prince. “Cualquier cosa que salga mal en cualquier parte de Internet nos culpa, ¡lo cual es correcto! Nuestros clientes nos pagan para asegurarnos de que sus conexiones a Internet sean rápidas, seguras y confiables. Entonces, BGP es una de estas áreas realmente frustrantes que no podemos resolvernos nosotros mismos”.
BGP es como un servicio de mapeo GPS para Internet, que permite a los ISP elegir automáticamente qué ruta deben tomar los datos en el vasto panorama de redes de Internet. Pero realmente BGP es como usar un servicio de mapeo GPS administrado por sus parientes obstinados. El padrastro de tu primo dice “oh, toma este ruta. Será rápido y seguro y podrá pasar por la casa con las fantásticas decoraciones de Halloween”, y solo tiene que confiar en él. Si no sabe de lo que está hablando, como un ISP que anuncia una ruta BGP incorrecta, usted podría terminar atrapado en el tráfico interminable del centro comercial.
Las herramientas criptográficas, los filtros de ruta y las mejores prácticas que Cloudflare y otras organizaciones han estado promoviendo son como un sexto sentido para detectar cuándo está recibiendo un mal consejo. Ejecutan verificaciones reales en las rutas BGP que otras IP están “anunciando” u ofreciendo, para asegurarse de que sean legítimas y que nadie esté publicitando una ruta problemática.
Is BGP Safe Yet probará su ISP ofreciéndole una ruta legítima y una inválida para cargar dos páginas. Si su ISP detecta la ruta no válida y solo carga la página en la ruta real, pasa la prueba. Pero si acepta ambas rutas como válidas, su ISP fallará, lo que significa que aún no ha implementado las protecciones BGP para buscar rutas incorrectas y filtrarlas.
Incluso con una gran cantidad de servicios que aún no ofrecen protecciones BGP, aún puede obtener beneficios de aquellos que sí lo hacen. Prince explica que durante una interrupción como el incidente de las telecomunicaciones rusas, los ISP que usan las mejores prácticas de BGP identificarían el problema, a menudo llamado “fuga de ruta”, y lo rechazarían a favor de una ruta legítima. Entonces, si el Wi-Fi de su hogar proviene de Comcast, que aún no ha implementado las mejoras, y obtiene sus datos móviles de AT&T, que sí lo ha hecho, es posible que tenga problemas para cargar ciertos sitios web y servicios en su computadora portátil durante un incidente de BGP, pero podría acceder a ellos bien desde su teléfono inteligente.
Probablemente no tenga una línea directa con el CEO de su ISP para quejarse de su falta de ajetreo en las protecciones de BGP. Sin embargo, Cloudflare espera que la herramienta genere conciencia entre los consumidores y, al mismo tiempo, proporcione una manera fácil para que los actores de la industria vean y sean vistos.
“BGP es un protocolo de más de 40 años, es un milagro que Internet haya funcionado en lo que en realidad es solo un sistema basado en la confianza durante tanto tiempo”, dice Prince. “Obviamente, tiene sentido tener más verificación, porque cualquier otra cosa es una locura. ¡Y sin embargo! Ha tomado mucho tiempo implementar eso. Con suerte, podemos ejercer un poco de presión pública”.
Esta historia apareció originalmente en wired.com.