A principios de la semana pasada, Rusia a través de Rostelecom, su empresa de telecomunicaciones estatal, secuestró el tráfico de más de 200 redes durante aproximadamente 1 hora.
Según ZDNet este incidente afectó a casi 9000 rutas de tráfico, y como consecuencia de ésto, el tráfico de los «gigantes de la nube»: Google, Amazon, Facebook, Cloudfare, Akamai, GoDaddy… fue directo a Rostelecom.
¿Cómo pudo Rostelecom secuestrar el tráfico?
A través del denominado «secuestro de BGP«, ya utilizado en ocasiones anteriores por China para tratar de obtener datos de occidente.
Básicamente el problema es que internet se creó mucho antes de que la seguridad fuese una preocupación importante, y por tanto entonces se asumió que todas las redes son confiables. En este contexto, hay aproximadamente 60.000 redes centrales en internet, y los enrutadores usan BGP (Border Gateway Protocol) para intercambiar información de accesibilidad, cada uno posee una tabla de enrutamiento, y elige la mejor ruta para enviar un paquete de información, generalmente basado en la regla «la ruta más corta». Saltando de un router a otro, la red origen finalmente aprende cómo llegar a un destino a través de redes intermedias.
Cuando se produce un secuestro BGP, un atacante se disfraza de otra red (anunciando prefijos de otra red como si fuesen suyos), y si estos datos falsos se aceptan por los vecinos, poco a poco se propaga a través de internet alternando las rutas válidas.
El problema aquí radica en que el atacante puede alegar un error en la configuración de sus sistemas, y no un acción intencionada.
A falta que otros protocolos más seguros como ROV (Route Origin Validation) se extiendan, a día de hoy, son los operadores de red los que tratan de garantizar el enrutamiento seguro a nivel mundial, pero ningún operador puede asegurar su red sólo, necesita del resto.
¿Qué consecuencias tiene el ataque?
Pues básicamente que Rostelecom ha recibido los datos de una gran parte de internet durante 1 hora, los que hayan viajado sin cifrar, estarán directamente disponibles para ser tratados, los que hayan sido cifrados, como por ejemplo páginas web seguras (https), probablemente hayan sido almacenados a la espera de tener los medios y tecnologías que permitan su descifrado.