Por Adam Davenport: Director de Estrategia de Interconexión de GTT
A medida que el tráfico de Internet continúa aumentando, Adam Davenport, director de estrategia de interconexión de GTT, explora los pasos que se deben tomar para proteger mejor a los consumidores y las empresas contra las filtraciones y secuestros de rutas.
A lo largo de la pandemia de COVID-19, cada vez más personas han confiado en Internet para mantenerse conectadas respetando la distancia. Como resultado, el tráfico de Internet ha aumentado alrededor de un 30% desde marzo. Poniendo esto en contexto, se trata del volumen de crecimiento que normalmente esperamos para todo un año.
Gestionar esta explosión en el tráfico y transportarlo por todo el mundo sin comprometer las velocidades de entrega o la experiencia del usuario es un tremendo reto. Es un desafío que los operadores Tier1 como GTT, que constituyen el núcleo de Internet del mundo, asumen todos los días. Sin embargo, otro tema igualmente importante pero del que se habla con menos frecuencia es el desafío de garantizar que Internet esté equipado con medidas de seguridad más sólidas para los sitios web y las aplicaciones en la nube en las que muchos de nosotros confiamos todos los días.
Las amenazas del tráfico en la web
El tráfico de Internet «salta» de punto a punto a través de los sistemas autónomos que abarcan todo el mundo. Las direcciones IP, similares a las direcciones convencionales de la vida real, se utilizan para identificar qué se está conectando a ella. Esto podría ser el router de tu hogar, un blog o tu retailer favorito. Tradicionalmente, las rutas que una red puede anunciar a Internet global están protegidas por filtros aplicados por sus proveedores de tránsito. Estos filtros se generan a partir de entradas en el Registro de Enrutamiento de Internet (IRR), una base de datos de rutas de Internet registradas. Sin embargo, debido a que cualquiera puede crear una entrada de registro para cualquier cosa sin ningún tipo de verificación o validación, el sistema está abierto a abusos.
Esta falta de validación significa que los ciberdelincuentes pueden crear entradas IRR para el espacio de IP que no están autorizados a usar, lo que conduce a filtraciones y secuestros de rutas. Por ejemplo, un ciberdelincuente que quiera interceptar transacciones de criptomonedas o tarjetas de crédito podría, en teoría, registrar los prefijos de IP del objetivo previsto en la IRR y luego anunciar esos bloqueos de IP a sus proveedores de tránsito, que los aceptan sin ninguna autorización o validación adicional. Este escenario permitiría a ese ciberdelincuente secuestrar todo el tráfico destinado al espacio de direcciones IP del propietario legítimo mientras el anuncio estuviera activo. Además, puede darse el caso de problemas de configuración no intencionados. Es posible que un operador de red cometa un error tipográfico en un bloque IP al crear una entrada de IRR y lo acompañe del correspondiente anuncio de red. Cuando esto ocurre y es aceptado y propagado por los proveedores de tránsito, puede hacer que el operador legítimo y los sitios asociados con el espacio IP en cuestión sean completamente inoperantes hasta que se identifique y corrija el error.
Asegurar el sistema global de Internet
Con más personas que nunca dependiendo de Internet, es esencial desarrollar nuevas formas de proteger mejor tanto a los consumidores como a las empresas. Una de esas iniciativas es la implementación de un nuevo sistema de verificación para direcciones IP, llamado Infraestructura de clave pública de recursos (RPKI), que permite a las personas y organizaciones que poseen una o más direcciones IP registrar oficialmente el espacio de direcciones como suyo y solo suyo. Tiene el beneficio adicional de requerir que cualquiera que registre un bloque de direcciones IP esté debidamente autorizado por uno de los cinco Registros Regionales de Internet (RIR), las organizaciones que administran y asignan direcciones IP.
Tener un registro oficial de a quién pertenecen las direcciones IP proporciona una verificación de validación adicional, lo que hace que sea mucho más difícil para los delincuentes imitar o «falsificar» esas direcciones y redirigir el tráfico a un sitio falso generalmente muy similar. Tener este nivel de validación permite a los operadores de red rechazar explícitamente cualquier anuncio de IP que no sea válido en RPKI.
Hacer que Internet sea más seguro y confiable es una misión continua para todos los proveedores de redes IP. Son ellos los que aseguran que el gran volumen de tráfico en Internet pueda viajar de forma segura por todo el mundo. GTT es uno de los primeros proveedores globales Tier 1 que implementa la validación de ruta basada en RPKI en toda su red troncal de Internet. De esta manera, si la ruta IP de un cliente está cubierta por un registro RPKI de Autorización de Origen de Ruta (ROA), ese cliente puede estar seguro de que su tráfico de Internet es completamente seguro en toda la huella de red global de GTT.
Dar el siguiente paso
La disponibilidad de RPKI es un hito importante en el camino hacia la creación de un Internet más seguro. Todas las empresas que poseen direcciones IP ahora pueden dar el siguiente paso para asegurar sus servicios al obtener la autorización adecuada en el nivel RIR para crear un registro RPKI ROA. Sin embargo, las organizaciones aún tendrán que llevar a cabo verificaciones por su cuenta. Si adoptan un servicio ‘on line’ alojado por alguien que posee espacios de direcciones IP, como un blog o sitio web, entonces necesitan asegurarse de que este servicio registre su espacio de direcciones con el sistema apropiado para ayudar a que la experiencia del usuario sea más segura.
A medida que la población mundial depende cada vez más de Internet, los operadores de red responden colectivamente al desafío de hacer que Internet sea más seguro y confiable, pero aún queda un largo camino por recorrer. La implementación de RPKI es un paso importante en la dirección correcta y ayudará a agregar una capa adicional de protección y seguridad a nuestro mundo digital en constante crecimiento.
