El tráfico fue secuestrado a través de Rusia, China y Nigeria
Una filtración de BGP provocó la falta de disponibilidad del servicio de Google el lunes, el tráfico se redirigió a través de Rusia, China y Nigeria, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Aún no está claro si el incidente fue resultado de un error o un ataque cibernético en el protocolo BGP.
El secuestro de rutas, también conocido como secuestro de BGP, se produce cuando las tablas de enrutamiento para grupos de direcciones IP se corrompen de forma intencional o accidental.
Recientemente, Chris C. Demchak y Yuval Shavitt, especialistas en ciberseguridad y forense digital, revelaron que en los últimos años, China Telecom ha estado dirigiendo mal el tráfico de Internet a través de China. China Telecom está actualmente presente en redes norteamericanas con 10 puntos de presencia (PoPs) (ocho en los Estados Unidos y dos en Canadá), que abarcan los principales puntos de intercambio.
Los dos investigadores señalaron que la compañía de telecomunicaciones aprovecha los PoPs para secuestrar el tráfico a través de China, cosa que ha sucedido varias veces en los últimos años. “Dentro de las tablas de reenvío de BGP, los administradores de cada AS anuncian a sus vecinos de AS los bloques de direcciones IP que posee su AS, ya sea para usarlos como destino o como un conveniente nodo de tránsito”, indican los investigadores.
“Los errores pueden ocurrir dada la complejidad de la configuración de BGP, y estos posibles errores ofrecen a los hackers una oportunidad para secuestrar el tráfico. Si la red AS1 anuncia erróneamente a través de su BGP que posee un bloqueo de IP que en realidad es propiedad de la red AS2, el tráfico de una parte de Internet destinada a AS2 se enrutará a través de AS1. Si el anuncio erróneo se arregló maliciosamente, se produce un secuestro de BGP”, mencionan los expertos en ciberseguridad y forense digital.
Las más recientes filtraciones de BGP fueron reportadas por primera vez por la firma de monitoreo de redes ThousandEyes, el tráfico a los servicios de Google, incluyendo Search, G Suite y varios servicios de Google Cloud, se dirigió a través de TransTelecom en Rusia, el proveedor de servicios de Internet de Nigeria MainOne, y China Telecom.
“El 12 de noviembre de 2018, entre la 1:00 PM y las 2:23 PM PST, ThousandEyes notó problemas al conectarse a G Suite, una aplicación crítica para nuestra organización. Al revisar las estadísticas de ThousandEyes Endpoint Agent, notamos que esto estaba afectando a todos los usuarios en la oficina de ThousandEyes”, menciona el reporte de la firma.
“La interrupción no solo afectó a G Suite, sino también a Google, así como a Google Analytics. Lo que nos llamó la atención fue que el tráfico a Google Search se estaba reduciendo en China Telecom. ¿Por qué el tráfico desde una oficina de San Francisco que atraviesa a Google llega hasta China? También notamos un proveedor de servicios de Internet ruso en la ruta del tráfico, lo que definitivamente generó algunas preocupaciones para nuestros equipos”.
La comunidad de la ciberseguridad y forense digital especula que el origen de esta filtración fue la relación de emparejamiento de BGP entre el proveedor nigeriano MainOne y China Telecom, de todos modos no está claro si las fugas de BGP fueron el resultado de un ataque intencional o una mala configuración en MainOne.
Por su parte, Google ha confirmado que la causa raíz del incidente era externa a los sistemas de la compañía y ha comenzado una investigación interna al respecto.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad