Alertan sobre repetidos secuestros de tráfico en Internet

Grandes cantidades de información fueron desviadas de su ruta original posiblemente para revisarla.

Digamos que una empresa envía vía internet una serie de datos a una de sus sucursales en el mismo país. Lo lógico sería que los datos tomaran el camino más corto usando las redes más directas para llegar a su destino. Sin embargo, se han detectado una serie de anomalías donde los datos recorren el mundo y pasan por lugares que no tienen sentido antes de llegar a su objetivo. Esto ha despertado sospechas respecto a que los datos están siendo monitoreados o modificados por terceros antes de llegar a destino.

Investigadores de la compañía de inteligencia de redes Renesys publicaron un análisis a este asunto, tras observar 38 casos desde febrero de 2013 en los que grandes bloques de tráfico han sido redirigidos a routers en Bielorrusia o Islandia. Los ataques explotan un protocolo de fronteras (BGP) usado por los ISP para intercambiar datos entre países y han afectado a “grandes instituciones financieras, gobierno y proveedores de servicio de redes” en Estados Unidos, Corea del Sur, Alemania, República Checa, Lituania, Libia e Irán, asegura Renesys.

Alterar o borrar las rutas autorizadas por BGP no es difícil, y esto ha sido motivo de preocupación para varios investigadores. En 2008 ocurrió con YouTube, que se volvió inaccesible para casi todos los usuarios de Internet después de que un ISP paquistaní alteró una de estas rutas en un intento de bloquear el servicio sólo en ese país.

Ese mismo año, investigadores probaron en la conferencia hacker Defcon que las rutas BGP podían ser manipuladas para redirigir grandes cantidades de tráfico. Con esto, los atacantes podrían interceptar y revisar los datos sin cifrar antes de enviárselos al destinatario final, sin que éste pudiera notar que había ocurrido algo.

La posibilidad ha pasado del mundo teórico a ser un asunto real, afirma Renesys. “Hemos observado reales secuestros man-in-the-middle (MitM) en más de 60 días hasta ahora este año. Unos 1.500 bloques de IP individuales han sido secuestrados, en eventos que duraron desde minutos a días, por atacantes trabajando en varios países”, dice Renesys.

El primer caso observado por Renesys desvió gran cantidad de tráfico de diferentes lugares de origen hacia un ISP en Bielorrusia llamado GlobalOneBel antes de llegar a su destino. Así, un paquete que iba de Guadalajara en México a Washington DC en Estados Unidos, saltó hacia el país europeo en lugar de seguir la ruta normal desde el proveedor mexicano Alestra a PCCW en EE.UU.

 

guadalajara-to-washinton-via-belarus

Redirecciones como esta ocurrieron a diario durante febrero, cambiando las redes afectadas cada 24 horas aproximadamente. En marzo se detuvo, para reactivarse en mayo usando un proveedor diferente. En mayo también se observó una extraña redirección que duró cinco minutos hacia un proveedor basado en Islandia. Esas redirecciones aumentarían en julio, cuando se contabilizaron 17 desvíos a ese país.

No se conoce qué es lo que hay detrás de todo esto, pero Renesys advierte que hay que tomar medidas al respecto. “Todos en Internet – ciertamente las mayores operadoras, cualquier banco o compañía de procesamiento de pagos o agencia de gobierno – debería estar monitoreando ahora las rutas globales de sus prefijos IP”, dice la compañía.

La idea sería aumentar la transparencia para poder detectar si el tráfico está siendo redirigido. “Creemos que la gente está tratando de hacer esto porque creen (correctamente en la mayoría de los casos) que nadie está mirando”, aseguraron.

Link: Renesys

Anuncios

Deja un comentario

noviembre 21, 2013 · 1:02 pm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s