El auge del secuestro de BGP y por qué necesita un plan de respuesta de inmediato La consecuencia principal de este tipo de ataque es que los piratas informáticos pueden desviar información a diferentes ubicaciones.
Por Deepak Gupta
Este artículo fue traducido de nuestra edición en inglés.
Las opiniones expresadas por los colaboradores de Entrepreneur son personales
El secuestro del Border Gateway Protocol (BGP) es uno de los muchos ataques famosos que implementan los piratas informáticos para interferir con las redes de entrega de contenido (CDN). Los piratas informáticos también pueden interferir con los proveedores de alojamiento en la nube. Recientemente, casi todos los principales proveedores de servicios en la nube como Google, Amazon y GoDaddy se han convertido en víctimas del secuestro de BGP.
¿Cómo funciona un BGP?
Antes de profundizar en cómo se produce el secuestro de BGP, es importante profundizar en BGP. BGP es esencialmente un protocolo de enrutamiento que puede conectar varias redes. Esta congregación de redes se conoce como Sistema Autónomo (AS). Se utiliza un protocolo de enrutamiento para transferir información o paquetes de datos a través de varias redes.
Normalmente, un AS consta de proveedores de ISP, grandes empresas de tecnología o, en algunos casos, redes que pertenecen a gobiernos. Cada AS recibe un número único responsable de controlar un conjunto específico de rangos o espacios de IP conocidos como prefijos. Cada AS muestra la lista de direcciones IP que controla y las posibles rutas a enrutadores vecinos o pares durante el enrutamiento de paquetes de datos.
La información sobre los pares y las IP en control se almacena en tablas de enrutamiento y cambia con frecuencia cuando aparecen nuevas redes y rutas más cortas.
Relacionado: Para el hacker promedio, su pequeña empresa es un objetivo ideal
La anatomía de un secuestro de BGP
La consecuencia principal del secuestro de BGP es que los piratas informáticos pueden desviar la información que viaja a través de una red a diferentes ubicaciones. Pueden hacerlo siguiendo los siguientes pasos:
Anuncio de ruta
El primer paso es enviar un anuncio de nuevas rutas BGP. Este anuncio solo será creíble si lo anuncia un AS legítimo. El mal actor utilizará un AS comprometido para hacerlo. El anuncio de ruta generalmente implica la publicación de una tabla de todos los prefijos o rangos de IP disponibles. Si todo va bien, anunciarán nuevas rutas BGP a sus pares de la red global.
Especificidad de la propiedad intelectual
Las direcciones IP elegidas para mostrar son más específicas en comparación con las direcciones IP legítimas. En la mayoría de los casos, los piratas informáticos emplean prefijos no utilizados o rangos de IP presentes en redes AS reales y legítimas. Esto puede ayudar a mejorar las posibilidades de ocultar drásticamente la identidad de los piratas informáticos.
La vía de información solo se intercepta si los piratas informáticos pueden demostrar que la nueva ruta es más corta. Cuanto más eficientes muestren que es su red, más información será interceptada.
Elaborar el plan de respuesta adecuado
El secuestro de BGP es uno de los ciberataques más frecuentes en la actualidad. De hecho, en abril de 2018, los atacantes se infiltraron en Amazon Route 53 . Luego pasaron a redirigir 1300 direcciones con la esperanza de robar criptomonedas. Los piratas informáticos pudieron evitar sospechas actuando como un sitio web de criptomonedas conocido como MyEtherWallet.com. Posteriormente, robaron alrededor de $ 150,000 en criptomonedas de los usuarios finales. Por lo tanto, las empresas, tanto grandes como pequeñas, requieren un plan de respuesta para incapacitar al atacante.
Un ataque típico de respuesta a incidentes después de que se produce un secuestro de BGP puede no ser nada fácil. Esto se debe a la forma en que los piratas informáticos pueden ocultarse. Sin embargo, en la mayoría de los casos, las empresas llevan a cabo un plan de respuesta a incidentes de tres pasos.
Estos pasos incluyen detección, contención y erradicación. De estos, el paso de contención es especialmente desafiante, dado que los anuncios de ruta pueden tener lugar rápidamente.
Relacionado: Los datos de Crypto Hacker son vulnerables al FBI a través de Palantir Glitch
Evitar el secuestro de BGP
Para evitar este ciberataque, las empresas deberán basarse en las medidas propuestas por su ISP o implementar sus medidas de seguridad. Esto último debe tener lugar si la empresa es propietaria de la red AS.
Las empresas que dependen de las medidas de seguridad propuestas por sus ISP deberán contactar constantemente a los proveedores para asegurarse de que las vulnerabilidades dentro de la red sean erradicadas.
En el segundo caso, una organización debería considerar llevar a cabo los siguientes pasos:
Cree una política de emparejamiento que pueda ayudar a los pares a determinar la legitimidad de las direcciones IP. Una empresa tiene la posibilidad de elegir entre una política de intercambio de información abierta y una selectiva en función de las necesidades de su red.
MANRS (Normas mutuamente acordadas para la seguridad del enrutamiento) es una colección de las mejores prácticas que las organizaciones pueden utilizar para proteger sus redes del secuestro de BGP. Por tanto, es importante incorporar esto en las medidas de seguridad.
Restrinja la cantidad de prefijos o rangos de IP mostrados por una red AS para limitar la cantidad de anuncios que se realizan.
Implementar puntos de control de autenticación por los que debe pasar un operador antes de aceptar un anuncio.
Además de esto, las organizaciones también recurren al filtrado de rutas, verificaciones de actualización de BGP en tiempo real y más para garantizar que los piratas informáticos no puedan secuestrar la red. Sin embargo, una herramienta de respuesta automatizada es la medida de seguridad más impresionante y precisa en la que una organización puede invertir. Esta herramienta funcionará como detector y como herramienta de mitigación para ayudar a prevenir el secuestro.
Aunque ha habido un aumento en los casos de secuestro de BGP en los últimos años, las organizaciones de hoy están más equipadas para manejarlo con la mejora drástica de las opciones de seguridad.
Relacionado: 5 tipos de piratas informáticos de datos comerciales no pueden esperar para tener en sus manos