RPKI vs Ingeniería Social: Cómo proteger tu BGP cuando el firewall humano falla
En 2025, un ISP latinoamericano sufrió un secuestro de rutas BGP que duró casi 40 minutos. Lo curioso —y preocupante— es que ese proveedor tenía RPKI implementado. Tenía sus ROAs publicados. Tenía sus filtros en orden.
Lo que no tenía era un proceso de onboarding seguro para nuevos clientes BGP.
Este es el caso que documentó APNIC en su blog a fines de marzo de 2026, y es una lectura obligatoria para cualquier equipo que opere sesiones BGP en Latinoamérica.
¿Qué pasó exactamente?
Un atacante se hizo pasar por un nuevo cliente legítimo de tránsito BGP. Pasó por el proceso de onboarding del proveedor, obtuvo credenciales válidas, y comenzó a anunciar prefijos que no le pertenecían. Como el proveedor no validaba correctamente la identidad del cliente ni el origen real de sus prefijos durante el proceso de alta, los anuncios pasaron los filtros iniciales.
El RPKI estaba ahí. Los ROAs existían. Pero el atacante nunca necesitó vulnerar el RPKI: exploró la brecha entre el proceso humano y el sistema técnico.
El problema real: RPKI protege la ruta, no el proceso
RPKI (Resource Public Key Infrastructure) es hoy la herramienta más robusta que tenemos para validar que quien anuncia un prefijo tiene autorización para hacerlo. Cuando está correctamente implementado, un ROA inválido es rechazado por los routers que practican Origin Validation.
Pero RPKI valida la autorización técnica de un AS para anunciar un prefijo. No valida que la persona que configuró esa sesión BGP en tu router sea quien dice ser.
Esa distinción, aparentemente obvia, es exactamente el vector que explotó el ataque documentado.
Tres pasos para cerrar el ciclo
1. Validación de identidad fuera de banda en el onboarding
Todo proceso de alta de un nuevo peer o cliente BGP debería incluir verificación de identidad fuera de banda: confirmación por canales separados (email corporativo verificado, videollamada, llamada telefónica a número registrado en el RIR correspondiente). No alcanza con recibir un formulario web.
2. Correlación entre el AS declarado y los registros del RIR
Antes de activar cualquier sesión BGP, verificá que:
- El AS-NUMBER declarado por el cliente esté registrado en LACNIC, ARIN, RIPE o el RIR correspondiente
- El contacto técnico del registro coincida con quien está haciendo el onboarding
- Los prefijos que el cliente va a anunciar tengan ROAs creados antes del proceso de alta (no después)
3. Tiempo de gracia con monitored-only
En los primeros días de una sesión BGP nueva, configurar el peer en modo monitored-only: los anuncios son recibidos y registrados, pero no propagados hasta que el equipo NOC los revise manualmente. Es una fricción operativa mínima con un alto retorno en seguridad.
El estado del RPKI en Latinoamérica
Según datos de LACNIC de 2025, la adopción de RPKI en la región sigue creciendo, pero la validación de origen (ROV — Route Origin Validation) en los routers de los proveedores todavía es irregular. Muchos ISPs tienen sus ROAs creados pero no practican ROV activo, lo que significa que incluso con RPKI parcialmente implementado, un anuncio inválido puede propagarse.
El mapa de adopción de RPKI en Latam muestra avances importantes en Brasil, Argentina y Colombia, pero brechas significativas en el resto de la región.
Lo que Ayuda.LA puede hacer por tu red
En Ayuda.LA trabajamos con ISPs y empresas hiperconectadas en la implementación y auditoría de seguridad de routing:
- Auditoría BGP: revisamos tu configuración de filtros, ROAs, y políticas de routing para identificar brechas antes de que un atacante las encuentre
- Implementación de RPKI end-to-end: desde la creación de ROAs hasta la activación de ROV en tus routers de borde
- Diseño de proceso de onboarding seguro: te ayudamos a construir un proceso de alta de clientes BGP que combine validación técnica con verificación humana
Si tu red opera sesiones BGP y todavía no has auditado tu proceso de onboarding, este es el momento de hacerlo.
¿Querés saber cómo está configurada tu red frente a este tipo de ataques? Contactá a nuestro equipo para una auditoría de routing BGP.
Referencias: