Internet deja abierta su 'puerta' para esp¨ªas

Una nueva investigaci¨®n de dos expertos en seguridad ha vuelto a poner en evidencia que las "tripas" de Internet sufren de algunas graves deficiencias. La investigaci¨®n, difundida por Wired quien asegura que este es el mayor fallo detectado jam¨¢s en Internet , apunta que es un problema m¨¢s grave que el hecho p¨²blico en el mes de julio por Dan Kaminsky, quien desvel¨® un fallo en el sistema de DNS de asignaci¨®n de direcciones que permit¨ªa a cualquier ciberdelincuente redireccionar el tr¨¢fico de una web a otra falsa aunque se hubiese tecleado la direcci¨®n correcta.

El problema se ha localizado en una "puerta trasera" creada en su origen para que las autoridades gubernamentales o las agencias de inteligencia pudiesen intervenir las comunicaciones de Internet en los casos que as¨ª lo requiriesen.

El problema afecta al protocolo BGP (Border Gateway Protocol) que puede permitir la intercepci¨®n y seguimiento de las transmisiones de datos de cualquier web, siempre que los datos no estuviesen encriptadas, e incluso modificarlos antes de que lleguen a su destino.

Los expertos consultados por Wired consideran que este fallo podr¨ªa tener peores consecuencias que el anterior problema con los DNS, y subrayan que estos descubrimientos demuestran la falta de seguridad de algunos de los protocolos sobre los que est¨¢ basado el funcionamiento de Internet.

La nueva investigaci¨®n asegura que cualquiera con un router BGP, que suele ser un dispositivo com¨²n en los proveedores de Internet o las grandes empresas, podr¨ªa interceptar los datos que se enviasen a determinada direcci¨®n IP o incluso a un grupo de direcciones.

Este m¨¦todo, en principio, se concibi¨® para permitir el espionaje corporativo, el espionaje entre naciones o las intervenciones de las agencias de seguridad para poder interceptar datos en Internet sin que fuera necesario la colaboraci¨®n de los ISP.

No es un fallo

Lo peor del caso denunciado por los expertos Anton Kapela de la compa?¨ªa 5NinesData y Alex Pilosov de Pilosof en la conferencia de seguridad DefCon, es que este tipo de ataque no se aprovecha de un error de software o una vulnerabilidad determinada, si no que se utiliza un mecanismo incluido en el funcionamiento del protocolo BGP.

El problema del BGP es que su funcionamiento est¨¢ basado en la confianza. Por ejemplo, para que un mensaje de correo electr¨®nico de un cliente de Sprint en California llegue al buz¨®n de un usuario de Telef¨®nica en Espa?a, sus redes se comunican con un router BGP que indican cu¨¢l es el "camino" m¨¢s corto para que los datos lleguen a su destino. El BGP asume que el router est¨¢ seleccionando la mejor ruta para los datos y que nunca le va a "enga?ar; y precisamente, esta premisa es la que se puede manipular para que enga?ar al sistema f¨¢cilmente.

Los expertos aseguran que este tipo de ataque puede evitarse con la colaboraci¨®n de las operadoras si empiezan a utilizar un sistema de filtros que permitiesen distinguir la manipulaci¨®n de los datos. Esto supone un trabajo bastante arduo para los proveedores de acceso, que seg¨²n denuncia Kapela, no han hecho nada para solucionarlo puesto que hasta el momento nadie se hab¨ªa dado cuenta del problema.