Descubren otro gran agujero contra el espionaje en internet

Poco más de un mes le ha durado al informático Dan Kaminsky el honor de haber descubierto el «fallo de seguridad más grave de internet». Concretamente 38 días son los que han tardado en evidenciar otra notable vulnerabilidad en la red, tanto o más que la anterior. Ha sido durante la convención de seguridad «DefCon» que se celebra anualmente en Las Vegas (EE.UU.). Los expertos en seguridad Anton Kapela y Alex Pilosov demostraron su capacidad para interceptar toda información que circule por internet y modificarla antes de llegar a destino.

El nuevo agujero se encuentra en el BGP, un protocolo de la red concebido en los años 70 para que servicios de inteligencia o autoridades gubernamentales pudiesen intervenir datos sin necesidad de pedir autorización a terceros. Se suponía que este protocolo presentaba teóricos agujeros de seguridad, pero hasta ahora nadie había sido capaz de sacar provecho de ellos.

El problema es que la arquitectura del sistema BGP se basa en la confianza. A grandes rasgos, éste es el sistema que decide cual es el camino más corto entre emisor y receptor cuando, por ejemplo, se envía un correo electrónico. Una vez se remiten los datos, el servidor de destino informa al de origen de la ruta más efectiva para la transmisión, aceptando por defecto que la información es veraz. La técnica concebida por Kapela y Pilosov, llamada «AS Path Prepending», se vale de esta confianza ciega para redirigir los paquetes de datos a la dirección deseada.

«No es un error, ni un fallo del protocolo, es que el sistema funciona así», explica Kapela. Los días que el tráfico en internet es normal, las direcciones permanecen estáticas; pero cuando hay «atasco» de datos, los servidores necesitan redirigir los paquetes de datos a direcciones alternativas, momento donde el protocolo BGP es muy vulnerable.

Tareas de filtrado

Si no es un problema de software... ¿quién y cómo puede arreglarlo? «Los proveedores de internet pueden prevenir el ataque al cien por ciento -considera Kapela- filtrando la información. Simplemente no lo hacen por el alto coste en dinero y tiempo que implicaría realizarlo a nivel global». Existe, además de los motivos enunciados, un tercero de mucho peso. Y es que para tapar el «agujero», los proveedores deberían cooperar a nivel mundial en las tareas de filtrado. Esto significaría compartir las direcciones IP de todos sus clientes con la competencia, algo que muchas empresas no están dispuestas a hacer.

En el proceso podría aparecer también la paranoia colectiva: con que una compañía no hiciese sus «deberes» correctamente, el resto volverían a quedar expuestas a las malas intenciones.