El tráfico de empresas como Google y Facebook pasó por Rusia durante minutos, y pudo ser espiado

El tráfico de empresas como Google y Facebook pasó por Rusia durante minutos, y pudo ser espiado

Alberto García

Rusia actualmente cuenta con una legislación que obliga a los operadores a facilitar acceso al gobierno de todas las telecomunicaciones que pasen por ellos. Por ello, que la semana pasada empresas como Google, Facebook, Apple o Microsoft pasaran su tráfico (tanto el enviado como el recibido) a través de un operador ruso hasta ahora desconocido ha hecho saltar todas las alarmas.

BGP: un protocolo basado en la confianza

Según han afirmado los investigadores que están analizando el caso, esto habría sido intencionado. El incidente tiene que ver con el Border Gateway Protocol (BGP) de Internet, que dirige el tráfico de red a gran escala por la red, pasando por servidores u operadores. La seguridad de este protocolo se ha puesto muchas veces en entredicho, sobre todo después de que hace 8 meses hubiera tráfico de Visa y MasterCard que pasó también por un operador controlado por el gobierno ruso.

google facebook trafico bgpEl suceso ocurrió hace unas semanas en dos periodos de tres minutos; uno a las 5:43 y otro a las 8:07 hora española, afectando a un total de 80 bloques. Aunque estas redirecciones suelen ocurrir por errores humanos, los investigadores de BGPMon afirman que hay varias cosas que les hacen sospechar de que este ataque fue premeditado.

En primer lugar, el tráfico redirigido afectó sólo a un número limitado de compañías, pero entre las cuales se encuentran las más importantes del mundo, como Google, Facebook, Apple, Microsoft, Twitch, o Riot Games (creadores de League of Legends), entre otras. Junto con estas empresas, también las direcciones IP se rompieron en bloques más pequeños que los anunciados por las compañías afectadas (/24 en lugar de /16). Estos bloques pequeños no habían sido anunciados por Google, y en el caso de haber errores, no se ven nuevos prefijos.

bgp-hijack-timeline

Las direcciones IPv4 son recibidas por las empresas en bloques. Un bloque de /16 tiene 64.000 direcciones utilizables, mientras que no de /24 sólo tiene 254. En las tablas de enrutado de BGP los bloques pequeños tienen prioridad, por lo que los más pequeños y nuevos son cogidos antes por otros operadores y otras redes porque la ruta es más atractiva.

Varios operadores importantes a nivel mundial afectados, así como Google o Facebook

El tráfico fue redirigido por un sistema autónomo ubicado en Rusia que añadía entradas a las tablas de BGP (basado en la confianza y en el “boca a boca”) afirmando ser el origen real de los 80 prefijos afectados. Estos sistemas autónomos empezaron a aceptar las peticiones, haciendo que una gran cantidad de tráfico pasaran por el AS39523 ruso antes de llegar a su destino final. Entre los operadores que eligieron esa ruta se encuentran PJSC MegaFon, Hurricane Electric, Zayo, Nordunet y Telstra.

AS39523 es un sistema autónomo que lleva años sin usarse, excepto una vez en agosto donde también estuvo relacionado con Google. Todo el tráfico que pasó durante ese rato por ahí (se estima que cientos de terabytes) pudo ser totalmente accesible por el gobierno ruso en el caso de no estar cifrado. Hasta el momento, no hay evidencias de se haya conseguido descifrar tráfico redirigido con este método, aunque podrían haber almacenado los datos hasta que en el futuro se pueda romper el cifrado.

De cara al futuro, los operadores y redes troncales deberán tener más cuidado a la hora de confiar en rutas recién anunciadas sobre las que dirigir su tráfico. Tal y como está ahora mismo el sistema, seguiremos viendo casos como este con toda seguridad.