Internet, en esencia, funciona como una red de redes. Estas redes se conectan entre sí utilizando BGP (Border Gateway Protocol), el protocolo de enrutamiento que permite a los Sistemas Autónomos (AS) intercambiar información sobre cómo llegar a diferentes direcciones IP. Sin embargo, BGP fue diseñado en una época en que la seguridad no era una prioridad, y su funcionamiento se basa principalmente en la confianza entre operadores.

Esta ausencia de mecanismos de validación ha permitido que, a lo largo de los años, se produzcan incidentes críticos como secuestros de rutas (route hijacking), filtraciones de rutas (route leaks) y anuncios erróneos, afectando la estabilidad, seguridad y rendimiento de Internet.

¿Qué es RPKI?

Aquí es donde entra en juego RPKI (Resource Public Key Infrastructure): una infraestructura de clave pública que vincula los recursos de numeración IP (direcciones y ASN) con certificados digitales emitidos por los registros regionales, como LACNIC.

Gracias a RPKI, los titulares de recursos pueden generar objetos llamados ROA (Route Origin Authorizations), que indican qué ASN está autorizado para anunciar un determinado prefijo IP. Esto introduce una capa de validación criptográfica que refuerza la seguridad del enrutamiento.

RPKI en acción: el caso de CRIX

Desde nuestra experiencia operando un punto de intercambio de Internet (IXP) como CRIX, la validación RPKI se ha convertido en una pieza clave para asegurar un ecosistema confiable.

Cada vez que un miembro anuncia sus rutas BGP hacia el CRIX, estas son validadas mediante RPKI antes de ser propagadas al resto de los participantes. Si una ruta no cuenta con una autorización válida, simplemente se descarta. Este proceso evita la propagación de rutas incorrectas dentro del IXP y garantiza un tráfico más limpio y confiable.

En términos simples, RPKI nos permite responder con evidencia criptográfica a una pregunta esencial: ¿Está este ASN autorizado a anunciar este prefijo IP?

Buenas prácticas recomendadas

Si administrás bloques IP o ASN, estas son algunas recomendaciones clave:

• Generá tus ROAs en el RIR correspondiente (por ejemplo, LACNIC).
• Habilitá la validación de origen BGP (origin validation) en tus routers, utilizando servidores de validación confiables y sincronizados.
• Combiná esta práctica con otras medidas de seguridad, como el filtrado de prefijos, límites de rutas y políticas de control en BGP.

La seguridad del enrutamiento es una responsabilidad compartida. Implementar RPKI no solo protege tus propios recursos, sino que también fortalece la salud del ecosistema global de Internet. En un entorno donde errores o ataques pueden afectar a millones de usuarios, actuar de forma proactiva es una decisión estratégica.

En CRIX, seguimos promoviendo estas buenas prácticas entre nuestros miembros, como parte de nuestro compromiso con una Internet más segura, resiliente y confiable.
¿Ya estás validando tus anuncios?