Ni siquiera la criptografía es fiable: expertos dicen que la seguridad en Internet es solo un mito
Se han detectado vulnerabilidades críticas en RPKI, el sistema global que protege el tráfico de Internet.
La infraestructura jerárquica de claves públicas (RPKI) hace tiempo que se considera un mecanismo clave para proteger Internet contra el secuestro de rutas, sin embargo, un nuevo estudio muestra que también existen vulnerabilidades en este sistema. Los especialistas descubrieron que, aun cuando existen registros RPKI correctos, una parte significativa de la infraestructura de la que depende su obtención sigue siendo vulnerable.
Los autores del trabajo, presentado en el simposio NDSS 2026, analizaron cuán fiable es el proceso de obtención de datos RPKI por parte de los llamados nodos verificadores, que descargan y comprueban las autorizaciones criptográficas para anunciar rutas.
RPKI se creó como un modo de proteger el enrutamiento global contra el secuestro de prefijos en el protocolo de enrutamiento entre fronteras. Los propietarios de direcciones publican autorizaciones firmadas criptográficamente que vinculan un prefijo IP con un sistema autónomo autorizado. Estos objetos se almacenan en repositorios especializados, llamados puntos de publicación. El software verificador los consulta periódicamente, descarga los datos y, a partir de ellos, decide qué rutas considerar legítimas.
Sin embargo, antes de descargar los archivos, el sistema debe localizarlos mediante el sistema de nombres de dominio. Y aquí surgen los problemas. Los autores estudiaron 64 puntos de publicación y descubrieron que 31 de ellos, es decir casi la mitad, tienen al menos una zona sin protección DNSSEC en la cadena de resolución del nombre de dominio. Esto significa que un atacante puede falsificar la respuesta del sistema de nombres y dirigir al nodo verificador hacia un servidor malicioso en lugar del repositorio real.
Las causas son diversas. En siete casos las zonas no protegidas están controladas por los propios operadores de los puntos de publicación, lo que parece un simple error de configuración. En 22 casos el problema se relaciona con el uso de proveedores externos de servicios DNS sin la protección criptográfica habilitada. En otros dos casos la vulnerabilidad se debe a redireccionamientos mediante alias a dominios externos donde no existe protección.
Pero incluso si la falsificación de la respuesta DNS no funciona, sigue existiendo el riesgo de secuestro de rutas. El estudio mostró que 55 puntos de publicación, es decir el 85,9%, tienen en la cadena de resolución al menos un servidor de nombres cuya dirección IP no está protegida con registros RPKI. Resultó especialmente sorprendente que, de 13 servidores clave de los dominios de nivel superior .com y .net, sólo tres tuvieran registros correctos. Tras la notificación por parte de los investigadores el operador realizó correcciones, pero el hecho en sí demuestra un problema sistémico.
En varios casos también son vulnerables los propios servidores de los puntos de publicación. Entre 60 repositorios con una única dirección IP, cuatro no estaban protegidos por registros RPKI. Otro, servido a través de una red de entrega de contenidos, tenía cobertura incompleta en determinados países. Esto abre la puerta al secuestro del tráfico y al bloqueo del acceso a los datos RPKI en regiones concretas.
El modelado de ataques mostró que, en el peor escenario, entre el 65% y el 83% de los sistemas autónomos pueden perder el acceso al punto de publicación más vulnerable. En otros casos se trata de decenas de por ciento de las redes. Incluso una interrupción breve puede llevar a que los nodos verificadores consideren los datos obsoletos y dejen de usar parte de las autorizaciones.
Una preocupación separada es la dependencia entre los propios puntos de publicación. Algunos dependen de repositorios menos protegidos para la verificación de certificados o la protección de sus propios prefijos IP. En tal configuración, la caída o ataque a un nodo puede provocar un efecto en cascada y aumentar la proporción de espacio de direcciones no protegido del 14,6% a más del 50% para IPv4.
Los autores subrayan que, formalmente, RPKI sigue siendo el único mecanismo de protección de uso generalizado contra el secuestro de rutas. Pero su efectividad no depende solo del número de registros creados, sino de la fiabilidad de toda la infraestructura asociada — desde los nombres de dominio hasta los registros correctos para los propios servidores. Y mientras estos elementos estén protegidos de forma desigual, la coraza seguirá con grietas.