Descubierto un enorme agujero en la Red

Internet sigue teniendo agujeros abiertos. El último, descubierto por dos expertos en seguridad informática y publicado ayer en la revista Wired, permite "secuestrar" cantidades nunca antes imaginadas de información. El punto débil tiene que ver con el llamado protocolo BGP (Border Gateway Protocol). El resultado: interceptar datos no encriptados que estén siendo transmitidos a cualquier parte del mundo, e incluso modificarlos antes de que lleguen a su destino.

Los routers BGP son comunes en los proveedores de Internet (como Telefónica, Ono, Tele2). Éstos utilizan el citado protocolo para compartir la información de ruta, esto es, para localizar ordenadores en la red (que se identifican individualmente mediante direcciones IP). La puerta entreabierta en este sistema, según probaron Anton Kapela y Alex Pilosov en la conferencia de hackers DefCon, es un mecanismo pensado para que las agencias de inteligencia pudieran intervenir determinadas comunicaciones.

"No hay vulnerabilidad ni errores en el protocolo, no se trata de un problema de software", explicó Kapela a Wired. El fallo está en el propio funcionamiento del BGP, que se basa en la confianza. Por poner un ejemplo, cuando alguien envía un correo de un país a otro, las diferentes compañías de Internet se comunican entre ellas con un router que les indica cuál es la ruta más eficiente para enviar la información a su destino. Y el BGP confía ciegamente en el veredicto. La tarea de los piratas informáticos es, pues, evidente: engañar a los routers para que les envíen a ellos la información.

Este ataque se conoce como secuestro de IPs y, además de ser un negocio ilícito, no es la primera vez que da problemas. En febrero, la decisión del gobierno de Pakistán de bloquear el acceso a YouTube provocó que, durante varias horas, usuarios de todo el mundo se quedasen sin poder ver vídeos del famoso portal. En este caso, la compañía Pakistán Telecom recibió instrucciones de dirigir las peticiones de acceso a YouTube de sus ciudadanos a otras páginas, instrucción que se distribuyó, tal vez por error, a proveedores de otros países.

Pero encontrar al "culpable" en este caso era fácil, porque el tráfico del portal acababa, como en un callejón sin salida, en Pakistán. La importancia del método utilizado esta vez por Kapela y Pilosov es que los datos se interceptan de forma mucho más "silenciosa" y, una vez obtenidos, se reenvían a los receptores originales para acabar de ocultar las pruebas.

Los expertos aseguran que los proveedores de Internet pueden evitar este tipo de ataque "al cien por cien", utilizando filtros potentes, pero que son bastante costosos. Stephen Kent, experto en seguridad de BBN Technologies, trabaja también en otras soluciones, relacionadas con la obtención de autorizaciones previas.

En julio, Dan Kaminsky desveló otro importante fallo en el sistema de DNS, encargado de asignar direcciones IP.