BGP (Border Gateway Protocol)

Qué es BGP

BGP (Border Gateway Protocol) es el protocolo mediante el cual diferentes redes (sistemas autónomos, AS) en internet intercambian información de rutas. Internet se compone de decenas de miles de AS interconectados, y BGP comunica en los puntos de conexión "por qué ruta se puede llegar a qué red".

Cuando accedes a un sitio web, los paquetes pasan por múltiples redes de ISP y operadores hasta llegar al destino. BGP determina esa ruta. Sin BGP funcionando correctamente, los paquetes no llegarían a su destino e internet dejaría de funcionar. BGP es uno de los protocolos más importantes que sostienen el enrutamiento a escala mundial.

Números AS y mecanismo de control de rutas

Un AS (Autonomous System) es un conjunto de redes operado por una única entidad administrativa. Cada AS recibe un número AS (ASN) único de IANA. Por ejemplo, Google tiene AS15169 y Amazon AS16509.

Los routers BGP se conectan con routers BGP de AS vecinos por TCP puerto 179 y anuncian las redes (direcciones IP) a las que pueden llegar. El receptor evalúa múltiples candidatos de ruta según longitud del AS path, preferencia local y MED para seleccionar la ruta óptima.

Secuestro BGP - Cuando las rutas son usurpadas

El secuestro BGP ocurre cuando un atacante anuncia ilegítimamente prefijos IP que no le pertenecen, desviando el tráfico. BGP no tiene mecanismo de verificación de legitimidad por diseño.

• Incidente YouTube 2008: Un ISP de Pakistán anunció el prefijo de YouTube con ruta más específica (/24), absorbiendo el tráfico mundial de YouTube durante ~2 horas.
• Incidente Amazon Route 53 2018: Secuestro BGP desvió tráfico del DNS de Amazon, redirigiendo usuarios de exchanges de criptomonedas a sitios de phishing. Se robaron ~$150,000.
• Incidente Facebook 2021: Facebook retiró accidentalmente sus anuncios BGP, dejando Facebook, Instagram y WhatsApp inaccesibles ~6 horas mundialmente.

RPKI - Verificación criptográfica de rutas

RPKI (Resource Public Key Infrastructure) verifica criptográficamente si los anuncios BGP provienen de un AS legítimo. El titular del prefijo IP emite un ROA (Route Origin Authorization) declarando qué AS puede anunciarlo.

En 2024, ~50% de los prefijos IP mundiales tienen ROA. Cloudflare, Google y Amazon descartan rutas Invalid. Sin embargo, la defensa completa no se ha logrado aún.

BGP y la experiencia cotidiana de internet

Los usuarios no operan BGP directamente, pero su funcionamiento afecta la experiencia. Si el ISP optimiza el control de rutas BGP, la velocidad de acceso a sitios extranjeros mejora con el mismo contrato.

Con traceroute puedes ver los AS que atraviesan tus paquetes. Más AS = mayor latencia, demostrando cómo la selección de rutas BGP impacta directamente el rendimiento.

Las grandes interrupciones BGP hacen que regiones o servicios "desaparezcan" de internet. La información de rutas BGP es pública en tiempo real a través de proyectos como RIPE RIS y RouteViews.

Conceptos erróneos comunes

BGP determina la velocidad de internet

BGP decide "por qué ruta" van los datos, no controla directamente el ancho de banda. Sin embargo, la selección de ruta afecta indirectamente la latencia y throughput según los AS que se atraviesen.

El secuestro BGP requiere alta tecnología

Técnicamente, cualquier operador con ASN puede ejecutarlo fácilmente. BGP no verifica legitimidad por diseño. Muchos secuestros son accidentes por errores de configuración, no ataques intencionales.

RPKI previene completamente el secuestro BGP

RPKI verifica el AS de origen pero no detecta alteraciones en la ruta intermedia. Los prefijos sin ROA quedan fuera de verificación. RPKI es una capa importante pero no una defensa completa por sí sola.

Términos relacionados