En los últimos días decenas de redes de distribución de contenido (CDNs) y servidores en la nube enviaron todo su tráfico de Internet a Rusia durante una hora. Nadie sabe muy bien por qué, pero lo que está claro es que el contenido almacenado en los sistemas de Google, Facebook, Amazon, Cloudflare y otros acabó en Rostelecom, la operadora estatal de Rusia.
Según recoge ZDNet, el incidente provocó que unas 8.800 rutas de tráfico de Internet (que engloba a los principales proveedores del mundo) fuesen redirigidas para pasar por la red rusa de Rostelecom. Ninguno de los implicados ha dado una explicación sobre lo que pasó, pero un documento con todo el listado de las redirecciones muestra las horas y aquellas rutas que pasaron por Rostelecom.
Por grave que pueda ser el asunto, lo cierto es que es relativamente sencillo conseguir este tipo de acciones. El problema reside en la forma en la que se enruta el tráfico en Internet, mediante un protocolo que permite a cualquier red obtener el contenido de otras redes. Se trata del protocolo Border Gateway Protocol (BGP) y mediante él si una red dice que los servidores de otras empresas están dentro de su red, el resto de redes redirigirán automáticamente el tráfico de esos servidores a la red que lo ha anunciado, sea cierto o no.
Por algún motivo Rostelecom anunció al resto de CDNs que tenía los servidores de multitud de empresas como Google, Amazon, Facebook, Akamai, Cloudflare y otros en su red. Automáticamente más de 8.800 rutas de tráfico fueron redirigidas a Rusia. Hay que tener en cuneta que los servidores de Google, Amazon, Akamai y otros también almacenan páginas y contenido de otras empresas y no sólo contenido propio.
Los secuestros por BGP son relativamente comunes. Se han dado en múltiples ocasiones en el pasado y lamentablemente no hay forma efectiva de evitarlas. Pero, ¿qué consecuencias tiene? En principio el contenido está cifrado, por lo que sólo circula por la red que lo ha "secuestrado" pero no tiene forma de obtenerlo. Más o menos.
Si bien el contenido del tráfico de Internet está cifrado gracias al protocolo HTTPS, el "atacante" puede guardar ese contenido y tratar de analizarlo a posteriori con alguna técnica que le permita descifrarlo.
De todos modos, una redirección masiva por BGP no tiene por qué ser maliciosa y muchas veces son por algún error en el sistema. Sin embargo, se han dado varias redirecciones sospechosas en los últimos años por parte de China Telecom, un ISP nigeriano o la propia Rostelecom previamente. Los expertos de seguridad de Cisco tildan a este último incidente como "curioso" dándole el beneficio de la duda a Rostelecom.
Vía | ZDNet
.