Una nueva técnica revelada por dos expertos en seguridad ha descubierto un agujero de seguridad tan importante (o más) que la vulnerabilidad DNS descubierta hace unos días. El problema podría afectar seriamente a toda la red Internet. El descubrimiento del fallo del protocolo de enrutado BGP (Border Gateway Protocol) permitiría a un atacante controlar toda la comunicación en dos extremos. No sólo verla, sino modificarla.

El investigador Dan Kaminsky reveló hace apenas un mes una vulnerabilidad en el sistema DNS que afortunadamente no ha tenido un gran impacto gracias a la previsión de los grandes proveedores de Internet  y a los  organismos encargados del funcionamiento de la red de redes, pero parece que las amenazas globales a Internet no se han acabado. Así lo han desvelado dos expertos en seguridad llamados Tony Kapela and Alex Pilosov, que en las conferencias DefCon han demostrado las debilidades del protocolo BGP sobre el que se sustenta Internet.

Típica estructura de funcionamiento de BGP

La idea es la de "secuestrar" (hijack) el protocolo Border Gateway Protocol que permitirá controlar todo el tráfico de Internet de modo que incluso la detección de este tipo de espionaje y modificación sería muy compleja. "Es un problema muy serio. De hecho, es tan grande como el problema con los DNS, si no mayor", comentaba Peiter Zatko, un renombrado experto en seguridad informática que formó parte del grupo de hackers L0pth y que hace 10 años testificó ante el congreso de los EE.UU. afirmando que podría hacer que Internet se "cayese" con un ataque similar a BGP.

Kapela y Pilosov demostraron la vulnerabilidad desde las conferencias DefCon que se están celebrando en Las Vegas, y consiguieron interceptar tráfico que se estaba generando en la propia conferencia para redirigirlo a un sistema que controlaban y estaba localizado en Nueva York antes de volver a devolverlo a Las Vegas. La técnica no ataca a una vulnerabilidad de BGP, sino a su propio funcionamiento.

"No estamos haciendo nada fuera de lo ordinario", comentó Kapela a los redactores de Wired. "No hay vulnerabilidades, no hay errores del protocolo, no hay problemas software. El problema se genera a partir del nivel de interconectividad que se necesita para mantener todo este lío funcionando".