Secuestro BGP

El secuestro BGP (secuestro del Border Gateway Protocol) es un ataque a nivel de red en el que un sistema autónomo malicioso o mal configurado difunde anuncios de enrutamiento falsos, convenciendo a otros enrutadores en internet de que envíen el tráfico destinado a una dirección IP legítima a través de la infraestructura del atacante. A diferencia del secuestro DNS —que corrompe los mapeos de nombre a IP— un secuestro BGP opera en la capa de enrutamiento, por lo que los registros DNS del dominio permanecen intactos y DNSSEC no ofrece protección contra él. Una vez redirigido el tráfico, los atacantes pueden interceptar la emisión de certificados TLS (los secuestros BGP se han utilizado para obtener certificados fraudulentos de CAs que emplean validación de dominio basada en HTTP), leer el tráfico no cifrado o realizar ataques de intermediario. Las mitigaciones incluyen la validación del origen de rutas mediante RPKI (Resource Public Key Infrastructure) y servicios de monitoreo que alertan cuando sistemas autónomos inesperados anuncian sus prefijos.