{"id":88971,"date":"2018-10-24T16:34:52","date_gmt":"2018-10-24T16:34:52","guid":{"rendered":"https:\/\/www.internetsociety.org\/?post_type=resources&#038;p=88971"},"modified":"2025-11-13T20:38:13","modified_gmt":"2025-11-13T20:38:13","slug":"seguridad-de-enrutamiento-para-legisladores","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/es\/resources\/doc\/2018\/seguridad-de-enrutamiento-para-legisladores\/","title":{"rendered":"Seguridad de enrutamiento para legisladores"},"content":{"rendered":"<p>Aunque el usuario promedio no lo puede ver, el enrutamiento del Protocolo Internet (IP) es el apoyo de Internet. Al asegurar que los paquetes<a href=\"#_ftn1\" name=\"_ftnref1\"><sup>[1]<\/sup><\/a>\u00a0vayan a donde se supone que deben hacerlo, el enrutamiento<a href=\"#_ftn2\" name=\"_ftnref2\"><sup>[2]<\/sup><\/a>\u00a0desempe\u00f1a un rol central en la funci\u00f3n confiable de Internet. Se asegura de que los correos electr\u00f3nicos lleguen a los destinatarios correctos, que los sitios de comercio electr\u00f3nico sigan operando y que los servicios de gobierno electr\u00f3nicos sigan atendiendo ciudadanos. La seguridad del sistema de enrutamiento\u00a0global es imprescindible para el crecimiento continuo de Internet y para salvaguardar las oportunidades que proporciona a todos los usuarios.<\/p>\n<p>Cada a\u00f1o ocurren miles de incidentes de enrutamiento<a href=\"#_ftn3\" name=\"_ftnref3\"><sup>[3]<\/sup><\/a>, cada uno con el potencial de da\u00f1ar la confianza del usuario e incapacitar el potencial de Internet.<a href=\"#_ftn4\" name=\"_ftnref4\"><sup>[4]<\/sup><\/a>Estos incidentes de enrutamiento\u00a0pueden crear tambi\u00e9n da\u00f1os econ\u00f3micos reales. Los servicios clave se vuelven inaccesibles, perturbando la habilidad de las empresas y de los usuarios de participar en el comercio electr\u00f3nico.<a href=\"#_ftn5\" name=\"_ftnref5\"><sup>[5]<\/sup><\/a>O pueden desviarse paquetes a trav\u00e9s de redes maliciosas, lo que brinda una oportunidad de espiar sus datos.<a href=\"#_ftn6\" name=\"_ftnref6\"><sup>[6]<\/sup><\/a>Si bien las medidas de seguridad conocidas pueden lidiar con muchos de estos incidentes de enrutamiento, las incentivas desalineadas limitan su uso.<\/p>\n<p>Todos los actores, incluyendo los legisladores, deben adoptar medidas para fortalecer la seguridad del sistema de enrutamiento\u00a0global.<a href=\"#_ftn7\" name=\"_ftnref7\"><sup>[7]<\/sup><\/a>Esto solo puede hacerse si se preservan al mismo tiempo los aspectos vitales del sistema de enrutamiento\u00a0que han permitido que Internet sea una red tan ubicua y se mejora su seguridad. Predicando con el ejemplo en sus propias redes, fortaleciendo la comunicaci\u00f3n y ayudando a realinear incentivos para favorecer una seguridad m\u00e1s s\u00f3lida, los legisladores pueden ayudar a mejorar el ecosistema de seguridad del enrutamiento.<\/p>\n<h4>Consideraciones clave<\/h4>\n<p>En esencia, el sistema de enrutamiento\u00a0se basa en la confianza entre redes. El sistema de enrutamiento\u00a0global es un sistema complejo y descentralizado, conformado por decenas de miles de redes individuales. Las decisiones de negocios independientes y las relaciones de confianza entre operadores de redes individuales que implementan el Protocolo de puerta de enlace de frontera (Border\u00a0Gateway\u00a0Protocol\u00a0o BGP en ingl\u00e9s) determinan la forma en que opera la red.<a href=\"#_ftn8\" name=\"_ftnref8\"><sup>[8]<\/sup><\/a>La arquitectura del sistema mallado contribuye a su resiliencia, escalabildidad y facilidad de adopci\u00f3n.<\/p>\n<p>Ya que no tiene un solo punto de falla o un controlador individual, el sistema de enrutamiento es dif\u00edcil de infringir\u00a0a nivel global, f\u00e1cil de conectar y puede escalar sin problemas.\u00a0Cuando una ruta se congestiona o falla, las redes pueden optar por enrutar el tr\u00e1fico alrededor de las \u00e1reas problem\u00e1ticas. La estructura del sistema de enrutamiento\u00a0tambi\u00e9n permite una excelente cantidad de flexibilidad para que los operadores de red gestionen sus propias redes. Esto permite a los operadores de red desarrollar arquitecturas y soluciones de red novedosas que se adapten de la mejor manera a las necesidades de sus usuarios. Estas cualidades han hecho que Internet tenga tanto \u00e9xito adem\u00e1s de permitir su crecimiento.<\/p>\n<h4>Desaf\u00edos<\/h4>\n<p>Si bien las cualidades del sistema de enrutamiento\u00a0han permitido su \u00e9xito en general, estos mismos atributos pueden contribuir tambi\u00e9n a algunos de sus desaf\u00edos. El sistema est\u00e1 basado en cadenas de confianza; cada red depende de sus redes vecinas (que a su vez dependen de sus propias vecinas, etc.) para actuar en forma apropiada. No hay verificaci\u00f3n integrada y es f\u00e1cil tergiversar la informaci\u00f3n. Esto conduce a\u00a0<strong>incidentes de enrutamiento<\/strong>\u00a0continuos. Las complejidades y la descentralizaci\u00f3n del sistema de enrutamiento\u00a0global tambi\u00e9n generan\u00a0<strong>desaf\u00edos en el ecosistema<\/strong>, incluyendo incentivos desalineados y los riesgos externalizados\u00a0que plantea la inseguridad del enrutamiento. Se conocen\u00a0 las soluciones para lidiar con muchos incidentes de enrutamiento, pero los desaf\u00edos del ecosistema dificultan su implementaci\u00f3n. Cualquier esfuerzo por lidiar con estos desaf\u00edos debe reconocer las funciones t\u00e9cnicas b\u00e1sicas del sistema de enrutamiento y mantener los beneficios que proporciona la arquitectura del sistema de enrutamiento.<\/p>\n<p>En 2017 hubo cerca de 14,000 incidentes de enrutamiento registrados en total.<a href=\"#_ftn9\" name=\"_ftnref9\"><sup>[9]<\/sup><\/a>Los incidentes afectaron a m\u00e1s del 10% de los sistemas aut\u00f3nomos (AS) en Internet. Hay tres tipos principales de incidentes de enrutamiento:<\/p>\n<ul>\n<li><strong>Apropiaci\u00f3n de ruta\/prefijo,\u00a0<\/strong>en donde un operador de red o atacante se hace pasar por otro operador de red, pretendiendo que es la ruta correcta al servidor o red que se busca en Internet.<a href=\"#_ftn10\" name=\"_ftnref10\"><sup>[10]<\/sup><\/a><\/li>\n<li><strong>Fugas de ruta,\u00a0<\/strong>son la propagaci\u00f3n de anuncios de enrutamiento<a href=\"#_ftn11\" name=\"_ftnref11\"><sup>[11]<\/sup><\/a>m\u00e1s all\u00e1 de su alcance previsto (infringiendo sus pol\u00edticas).<a href=\"#_ftn12\" name=\"_ftnref12\"><sup>[12]<\/sup><\/a><sup>,<a href=\"#_ftn13\" name=\"_ftnref13\">[13]<\/a><\/sup><\/li>\n<li><strong>Falsificaci\u00f3n de IP,\u00a0<\/strong>en donde alguien crea paquetes IP con una direcci\u00f3n IP de origen falsa para ocultar la identidad del remitente o hacerse pasar por otro sistema.<a href=\"#_ftn14\" name=\"_ftnref14\"><sup>[14]<\/sup><\/a><\/li>\n<\/ul>\n<p>Esos incidentes pueden ejercer mucha presi\u00f3n sobre la infraestructura y provocar ca\u00edda de tr\u00e1fico, proveer los medios para la inspecci\u00f3n de tr\u00e1fico o incluso usarse para realizar ataques de amplificaci\u00f3n de servidores de nombres de dominio (DNS)<a href=\"#_ftn15\" name=\"_ftnref15\"><sup>[15]<\/sup><\/a>\u00a0o cualquier otro ataque de amplificaci\u00f3n reflectiva (RA).<a href=\"#_ftn16\" name=\"_ftnref16\"><sup>[16]<\/sup><\/a><\/p>\n<p>Las pr\u00e1cticas recomendadas en la seguridad del enrutamiento\u00a0ya est\u00e1n disponibles y se consideran muy efectivas en contra de estas formas de incidentes de enrutamiento. Tanto para las fugas de rutas como para las apropiaciones de ruta, los operadores de red pueden usar pol\u00edticas de filtrado m\u00e1s s\u00f3lidas<a href=\"#_ftn17\" name=\"_ftnref17\"><sup>[17]<\/sup><\/a>\u00a0y determinar cu\u00e1ndo es que las redes vecinas hacen anuncios perjudiciales. La validaci\u00f3n de origen de una direcci\u00f3n IP<a href=\"#_ftn18\" name=\"_ftnref18\"><sup>[18]<\/sup><\/a>\u00a0puede usarse para encontrar tr\u00e1fico falsificado a medida que entra o sale de una red. Despu\u00e9s el tr\u00e1fico falsificado puede filtrarse para evitar que llegue a su destino. Hay esfuerzos continuos por desarrollar herramientas a\u00fan m\u00e1s efectivas como la Validaci\u00f3n del origen de la ruta (Route\u00a0Origin Validation, o ROV)<a href=\"#_ftn19\" name=\"_ftnref19\"><sup>[19]<\/sup><\/a>\u00a0y fortalecer las existentes, como definir con m\u00e1s detalle una\u00a0\u2018ruta viable\u2019 en la tecnolog\u00eda Unicast\u00a0Reverse Path Forwarding (uRPF).<a href=\"#_ftn20\" name=\"_ftnref20\"><sup>[20]<\/sup><\/a><\/p>\n<p>Las\u00a0<strong>Normas mutuamente acordadas para la seguridad del enrutamiento\u00a0(Mutually Agreed Norms for Routing\u00a0Security, o MANRS)<\/strong><a href=\"#_ftn21\" name=\"_ftnref21\"><sup>[21]<\/sup><\/a><strong>\u00a0<\/strong>son un conjunto de pr\u00e1cticas de referencia visibles para que los operadores de red mejoren la seguridad del sistema de enrutamiento\u00a0global.\u00a0En 2014, un grupo de operadores de redes con ideas afines desarroll\u00f3 MANRS\u00a0como una iniciativa voluntaria. Define cuatro acciones simples pero concretas que los operadores de redes pueden implementar para mejorar de manera considerable la seguridad y confiabilidad de Internet.<a href=\"#_ftn22\" name=\"_ftnref22\"><sup>[22]<\/sup><\/a>Las primeras dos mejoras (filtrado y validaci\u00f3n de origen de IP) tratan con las causas ra\u00edz de los incidentes de enrutamiento comunes. Las otras dos (coordinaci\u00f3n<a href=\"#_ftn23\" name=\"_ftnref23\"><sup>[23]<\/sup><\/a>\u00a0y validaci\u00f3n global<a href=\"#_ftn24\" name=\"_ftnref24\"><sup>[24]<\/sup><\/a>) ayudan a limitar el impacto de los incidentes y reducen la probabilidad de estos en el futuro.<\/p>\n<p>Cada una de las acciones de MANRS\u00a0prescribe resultados en vez de m\u00e9todos espec\u00edficos. Esto permite que la implementaci\u00f3n cambie con la tecnolog\u00eda. Adem\u00e1s de los incidentes de enrutamiento, MANRS\u00a0 busca lidiar con los desaf\u00edos del ecosistema en el sistema de enrutamiento\u00a0global. MANRS\u00a0mejora los incentivos econ\u00f3micos de la seguridad del enrutamiento\u00a0al permitir que los operadores de redes indiquen su postura de seguridad de enrutamiento\u00a0a los clientes, competidores y legisladores. Adem\u00e1s proporciona las m\u00e9tricas para medir la seguridad del enrutamiento. Las mediciones de MANRS\u00a0pueden servir como u9na valiosa evaluaci\u00f3n de un tercero en cuanto a las pr\u00e1cticas de seguridad de un operador de red.<a href=\"#_ftn25\" name=\"_ftnref25\"><sup>[25]<\/sup><\/a><\/p>\n<p>A pesar de la disponibilidad de soluciones a los incidentes de enrutamiento comunes, los desaf\u00edos del ecosistema limitan su uso.<\/p>\n<ul>\n<li><strong>Los incidentes de enrutamiento son dif\u00edciles de resolver lejos del origen, por lo que mejor deben tratar de solucionarse colectivamente.\u00a0<\/strong> De cualquier parte de donde provenga una amenaza, las redes cerca de su origen est\u00e1n en la mejor posici\u00f3n para lidiar con dicha amenaza (por ejemplo, las redes adyacentes pueden rehusarse a aceptar anuncios falsos).<a href=\"#_ftn26\" name=\"_ftnref26\"><sup>[26]<\/sup><\/a>Cuando una red se ve afectada m\u00e1s all\u00e1 del origen de un incidente de enrutamiento, solo puede tratar de mitigar el impacto.\u00a0Debe depender de otras redes m\u00e1s cerca del problema del incidente de enrutamiento\u00a0para lidiar con el problema por completo.<\/li>\n<li><strong>Factores externos <\/strong><strong>econ\u00f3micos.<\/strong> Cualquier red puede ser el origen de un incidente y la inseguridad de una red puede afectar a todas las dem\u00e1s. Ahora bien, incluso si un incidente de enrutamiento se origina desde nuestra propia red, es muy probable que el impacto se sienta en otra red. Es menos probable que los operadores de red inviertan recursos en mejorar la seguridad del enrutamiento, ya que los beneficios ser\u00e1n en su mayor\u00eda para otras redes y no las suyas.<\/li>\n<li><strong>La seguridad del enrutamiento\u00a0no es un diferenciador del\u00a0mercado.\u00a0<\/strong>Actualmente, una buenaseguridad de enrutamiento\u00a0no es una herramienta de marketing efectiva para los operadores de redes. Es dif\u00edcil que los operadores de redes comuniquen su nivel de seguridad de enrutamiento\u00a0a sus clientes. Los usuarios tienen una comprensi\u00f3n limitada en cuanto al sistema de enrutamiento\u00a0global y la forma en que las pr\u00e1cticas de seguridad de enrutamiento de su red puede impactar.<\/li>\n<\/ul>\n<h4>Recomendaciones y principios fundamentales<\/h4>\n<p>La acci\u00f3n colectiva global es la \u00fanica forma de lidiar con las amenazas de seguridad del enrutamiento\u00a0y fortalecen dicha seguridad. Todos los actores, incluidos los gobiernos, desempe\u00f1an roles importantes para mejorar los incentivos del mercado y fortalecer la seguridad del enrutamiento, impulsar el desarrollo o la adopci\u00f3n de pr\u00e1cticas recomendadas y eliminar barreras adem\u00e1s de fortalecer la cooperaci\u00f3n.\u00a0Sin embargo, cualquier acci\u00f3n debe elaborarse cuidadosamente para no limitar las ventajas del sistema de enrutamiento\u00a0global, incluyendo su resiliencia en general, facilidad de uso, flexibilidad y escalabilidad. Para mejorar la seguridad del enrutamiento debemos:<\/p>\n<ul>\n<li><strong>Liderar con\u00a0el ejemplo.\u00a0<\/strong>Todos losactores, incluidos los gobiernos, deben mejorar la confiabilidad y seguridad de la infraestructura mediante la adopci\u00f3n de las pr\u00e1cticas recomendadas en sus propias redes.\n<ul>\n<li>Todas las redes que proporcionen conectividad a Internet, incluyendo las redes empresariales o gubernamentales, deben usar filtrado adem\u00e1s de la validaci\u00f3n del origen de direcciones IP para ayudar a prevenir y mitigar el impacto de los incidentes.<\/li>\n<li>Adem\u00e1s, los participantes influyentes del mercado, como las grandes empresas o gobiernos, deben, cuando sea posible, exigir el cumplimiento con las referencias de seguridad del enrutamiento, como la que est\u00e1 documentada por MANRS, para la adquisici\u00f3n de contratos con proveedores de servicios de Internet. MANRS, a trav\u00e9s de su MANRS\u00a0Observatory, proveer\u00e1 mediciones que pueden servir como la valiosa evaluaci\u00f3n de un tercero en cuanto a las pr\u00e1cticas de seguridad de un operador de Estas evaluaciones pueden ayudar a informar las decisiones de adquisici\u00f3n.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Facilitar\/fomentar la adopci\u00f3n de pr\u00e1cticas comunes para la seguridad del\u00a0enrutamiento.<\/strong>\u00a0Las asociaciones de la industria, en estrecha colaboraci\u00f3n con los gobiernos y dem\u00e1s actores, deben promover una referencia com\u00fan para la seguridad del enrutamiento.\n<ul>\n<li>La referencia com\u00fan para los operadores de redes provee un est\u00e1ndar industrial para la seguridad del enrutamiento\u00a0y promueve un mayor intercambio de informaci\u00f3n entre operadores de Tambi\u00e9n provee un m\u00e9todo para que los operadores de redes indiquen su nivel de seguridad a los posibles clientes.<\/li>\n<li>Todos los actores pueden contribuir a la adopci\u00f3n y el desarrollo de pr\u00e1cticas comunes de referencia y de la industria para la seguridad del enrutamiento, al participar en el proceso de desarrollo y, cuando sea viable, por medio del financiamiento.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Apoyar los esfuerzos para desarrollar nuevas herramientas de seguridad del enrutamiento\u00a0o fortalecer las\u00a0existentes.<\/strong>\u00a0El hecho de mejorar a\u00fan m\u00e1s la seguridad de las sociedades de sistemas de enrutamiento\u00a0globales con la comunidad de investigaci\u00f3n podr\u00eda ayudar a desarrollar la pr\u00f3xima generaci\u00f3n de herramientas y pr\u00e1cticas de seguridad del enrutamiento.\n<ul>\n<li>En donde sea posible, los actores, incluidos los gobiernos y el sector privado, pueden incrementar el financiamiento para la investigaci\u00f3n, el desarrollo y el despliegue experimental de la pr\u00f3xima generaci\u00f3n de protocolos de Internet, incluidos los que mejoran la seguridad del enrutamiento.<\/li>\n<li>Los investigadores pueden desarrollar asesor\u00eda t\u00e9cnica en cuanto a realizar una validaci\u00f3n del origen de direcciones IP, un filtrado efectivo y una validaci\u00f3n La asesor\u00eda tambi\u00e9n debe animar a los operadores de redes a implementar BGPSec<a href=\"#_ftn27\" name=\"_ftnref27\"><sup>[27]<\/sup><\/a>y RPKI.<a href=\"#_ftn28\" name=\"_ftnref28\"><sup>[28]<\/sup><\/a><\/li>\n<\/ul>\n<\/li>\n<li><strong>Fomentar el uso de la seguridad como un diferenciador competitivo.<\/strong> Para que la seguridad del enrutamiento sea un diferenciador competitivo, los actores debenrespaldar el conocimiento p\u00fablico sobre la importancia de la seguridad del enrutamiento\u00a0y fomentar una mayor se\u00f1alizaci\u00f3n de la seguridad del enrutamiento\u00a0entre la industria y los clientes.\n<ul>\n<li>Para los proveedores de servicios de Internet, la seguridad del enrutamiento es un componente b\u00e1sico de su postura de seguridad en La se\u00f1alizaci\u00f3n de su postura hacia la seguridad del enrutamiento\u00a0se refleja de manera considerable en su postura general, lo que puede diferenciar sus servicios de los de la competencia.<\/li>\n<li>Las empresas pagar\u00e1n m\u00e1s por una mejor seguridad en el enrutamiento, pero necesitan formas de diferenciar la buena seguridad del enrutamiento\u00a0de la En una encuesta de 2017, el 94% de las empresas indicaron que estar\u00edan dispuestas a pagar m\u00e1s por un distribuidor que fuera miembro de MANRS\u00a0en una situaci\u00f3n competitiva.<a href=\"#_ftn29\" name=\"_ftnref29\"><sup>[29]<\/sup><\/a>La misma investigaci\u00f3n encontr\u00f3 adem\u00e1s que el conocimiento sobre MANRS era marginal entre las empresas antes de la encuesta.<\/li>\n<li>La industria, los grupos de consumidores, gobiernos y otros actores deber\u00edan trabajar en conjunto para promover el uso de referencias de seguridad del enrutamiento, tales como MANRS, como un diferenciador competitivo.<a href=\"#_ftn30\" name=\"_ftnref30\"><sup>[30]<\/sup><\/a>Adem\u00e1s deber\u00edan apoyar los esfuerzos por educar a las empresas locales en cuanto a la seguridad del enrutamiento\u00a0y las pr\u00e1cticas recomendadas existentes.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Fortalecer la comunicaci\u00f3n y cooperaci\u00f3n entre los operadores de redes y otros actores.<\/strong>\u00a0Los actores deben respaldar el desarrollo de mejores mecanismos para compartir informaci\u00f3n, participar en el intercambio de informaci\u00f3n sobre la seguridad del enrutamiento\u00a0y colaborar con actores para resolver las amenazas de seguridad del enrutamiento.\n<ul>\n<li>El sector privado, los gobiernos, la sociedad civil, el \u00e1mbito acad\u00e9mico y otros puedenrespaldar el desarrollo de equipos de respuesta a incidentes de seguridad computacional (CSIRT) o fortalecer los ya Los CSIRT\u00a0desempe\u00f1an un rol importante en el intercambio de informaci\u00f3n y la coordinaci\u00f3n en respuesta a los incidentes y amenazas del enrutamiento.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Identificar y resolver las barreras legales para el intercambio de informaci\u00f3n, la implementaci\u00f3n de tecnolog\u00edas de seguridad del enrutamiento\u00a0y la investigaci\u00f3n tanto de incidentes como de amenazas de\u00a0enrutamiento.<\/strong>\u00a0Las barreras legales pueden impedir que los investigadores de seguridad y desincentivar a los operadores de redes para que no implementen soluciones de seguridad del enrutamiento\u00a0ni compartan informaci\u00f3n entre s\u00ed.\n<ul>\n<li>Identificar y eliminar las barreras legales y regulatorias puede mejorar el intercambio de informaci\u00f3n y las respuestas a los incidentes de A los actores, en especial los investigadores de seguridad, les puede preocupar que divulgar los incidentes o amenazas de seguridad del enrutamiento\u00a0pueda traerles un problema legal.\u00a0Las barreras legales pueden impedir tambi\u00e9n el desarrollo y despliegue de las tecnolog\u00edas de seguridad del enrutamiento. Al desarrollar soluciones a las barreras identificadas, los actores deben poner mucha atenci\u00f3n en su impacto potencial sobre la privacidad de los individuos.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h4>Conclusi\u00f3n<\/h4>\n<p>El sistema de enrutamiento\u00a0global es incre\u00edblemente resistente. Su estructura descentralizada proporciona flexibilidad, escalabilidad y resistencia en general. Aunque su estructura ha desempe\u00f1ado un rol crucial en el crecimiento de Internet, tambi\u00e9n ha permitido que ocurran incidentes en el enrutamiento.<\/p>\n<p>Las mejores pr\u00e1cticas, como las Normas mutuamente acordadas para la seguridad del enrutamiento, proporcionan una ruta clara que los operadores de redes pueden adoptar para resolver estas amenazas de enrutamiento. Sin embargo, todos los actores necesitan adoptar medidas para lidiar con los desaf\u00edos del ecosistema que evitan la aplicaci\u00f3n generalizada de las pr\u00e1cticas recomendadas. Solo a trav\u00e9s de la acci\u00f3n colectiva podemos resolver los desaf\u00edos de seguridad de enrutamiento\u00a0y mantener al mismo tiempo los beneficios de un sistema de enrutamiento\u00a0descentralizado.<\/p>\n<hr \/>\n<p><strong>Notas<\/strong><\/p>\n<p><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a>Los paquetes de red, o \u00abpaquetes\u00bb, son datos que se env\u00edan a trav\u00e9s de una red o redes.<br \/>\n<a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a>El enrutamiento\u00a0es la pr\u00e1ctica de determinar la forma de obtener datos de una ubicaci\u00f3n a otra, a trav\u00e9s de una red o de varias redes.<br \/>\n<a href=\"#_ftnref3\" name=\"_ftn3\">[3]<\/a>Los incidentes de enrutamiento\u00a0son actualizaciones al Protocolo de puerta de enlace de frontera (Border Gateway Protocol) que tienen un impacto negativo.<br \/>\n<a href=\"#_ftnref4\" name=\"_ftn4\">[4]<\/a><a href=\"https:\/\/www.internetsociety.org\/es\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/\">https:\/\/www.internetsociety.org\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/<\/a><br \/>\n<a href=\"#_ftnref5\" name=\"_ftn5\">[5]<\/a>Por ejemplo, en abril de 2017, una fuga de rutas provoc\u00f3 una \u00abperturbaci\u00f3n en Internet a gran escala que ralentiz\u00f3 o bloque\u00f3 el acceso a los sitios Web y servicios en l\u00ednea para docenas de empresas japonesas\u00bb.<a href=\"https:\/\/bgpmon.net\/bgp-leak-causing-internet-outages-in-japan-and-beyond\/\">https:\/\/bgpmon.net\/bgp-leak-causing-internet-outages-in-japan-and-beyond\/<\/a><br \/>\n<a href=\"#_ftnref6\" name=\"_ftn6\">[6]<\/a>Durante varios minutos en abril de 2017, un operador de red secuestr\u00f3 sospechosamente el tr\u00e1fico de Internet de varios servicios financieros. Si es intencional, el secuestro podr\u00eda usarse para permitir que el operador de red lea informaci\u00f3n financiera sin encriptar\u00a0a medida que pase por sus redes, o tratar de descifrar la informaci\u00f3n financiera encriptada.<a href=\"https:\/\/arstechnica.com\/information-technology\/2017\/04\/russian-controlled-telecom-hijacks-financial-services-internet-traffic\/\">https:\/\/arstechnica.com\/information-technology\/2017\/04\/russian-controlled-telecom-hijacks-financial-services-internet-traffic\/<\/a><br \/>\n<a href=\"#_ftnref7\" name=\"_ftn7\">[7]<\/a>Si bien otras formas de seguridad (seguridad f\u00edsica o seguridad de los datos) son importantes para todos los actores, incluidos los operadores de redes, este documento normativo busca enfocarse \u00fanicamente en mejorar la seguridad del\u00a0enrutamiento. Si desea m\u00e1s informaci\u00f3n sobre proteger la infraestructura de los proveedores de servicios de Internet, vea: <a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc3871.txt\">https:\/\/www.rfc-editor.org\/rfc\/rfc3871.txt<\/a><br \/>\n<a href=\"#_ftnref8\" name=\"_ftn8\">[8]<\/a>Un\u00a0<em>protocolo de enrutamiento<\/em>\u00a0es la forma en que una red determina la ruta que va a tomar un paquete de datos. Para enrutar el tr\u00e1fico entre redes, la mayor\u00eda de las redes usan el Protocolo de puerta de enlace de frontera (Border\u00a0Gateway\u00a0Protocol, o BGP).<br \/>\n<a href=\"#_ftnref9\" name=\"_ftn9\">[9]<\/a><a href=\"https:\/\/www.internetsociety.org\/es\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/\">https:\/\/www.internetsociety.org\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/<\/a><br \/>\n<a href=\"#_ftnref10\" name=\"_ftn10\">[10]<\/a>En un secuestro de ruta, un operador de red o atacante se hace pasar por otro operador de red, pretendiendo que es la ruta correcta al servidor o red que se busca en Internet. Esto puede provocar que se reenv\u00eden paquetes al lugar incorrecto, ataques de negaci\u00f3n de servicio (DoS) o intercepci\u00f3n de tr\u00e1fico.<br \/>\n<a href=\"#_ftnref11\" name=\"_ftn11\">[11]<\/a>Las redes se hacen\u00a0<em>anuncios<\/em>\u00a0entre s\u00ed, en donde se detallan las direcciones accesibles mediante su red o dentro de la misma, o de las redes de un cliente. Los anuncios ayudan a determinar c\u00f3mo deciden los enrutadores\u00a0canalizar el tr\u00e1fico hacia un destino. Las\u00a0<em>pol\u00edticas de anuncios<\/em>\u00a0determinan lo que una red anunciar\u00e1 a un vecino.<br \/>\n<a href=\"#_ftnref12\" name=\"_ftn12\">[12]<\/a><a href=\"https:\/\/tools.ietf.org\/html\/rfc7908#section-2\">https:\/\/tools.ietf.org\/html\/rfc7908#section-2<\/a><br \/>\n<a href=\"#_ftnref13\" name=\"_ftn13\">[13]<\/a>Por ejemplo, un operador de red con m\u00e1s de un proveedor inmediato (upstream) anuncia a un proveedor inmediato que tiene una ruta hacia un destino a trav\u00e9s del otro proveedor inmediato (a menudo debido a una configuraci\u00f3n irregular accidental).O una red grande podr\u00eda anunciar de manera no intencional rutas a todas sus redes descendentes (downstream).Si es maliciosa, una fuga de ruta puede usarse para inspecci\u00f3n y reconocimiento de tr\u00e1fico o (a menudo cuando es accidental) puede presionar gravemente la infraestructura.<br \/>\n<a href=\"#_ftnref14\" name=\"_ftn14\">[14]<\/a>En la falsificaci\u00f3n de IP, alguien crea paquetes IP con una direcci\u00f3n IP de origen falsa para ocultar la identidad del remitente o hacerse pasar por otro sistema. La falsificaci\u00f3n de IP puede usarse para realizar ataques de amplificaci\u00f3n en servidores de nombres de dominio (DNS)<br \/>\n<a href=\"#_ftnref15\" name=\"_ftn15\">[15]<\/a>Un ataque de amplificaci\u00f3n en un DNS\u00a0se ejecuta enviando muchas solicitudes a muchos resolvedores de DNS\u00a0mientras se falsifica la direcci\u00f3n IP de la v\u00edctima; un atacante puede pedir muchas respuestas a los resolvedores\u00a0de DNS para regresar a un destino aunque solo utilice un sistema para realizar dicho ataque.<br \/>\n<a href=\"#_ftnref16\" name=\"_ftn16\">[16]<\/a><a href=\"https:\/\/www.us-cert.gov\/ncas\/alerts\/TA14-017A\">https:\/\/www.us-cert.gov\/ncas\/alerts\/TA14-017A<\/a><br \/>\n<a href=\"#_ftnref17\" name=\"_ftn17\">[17]<\/a>Cada red determina lo que puede aceptar como anuncio de otras redes, esta es su\u00a0<em>\u00abpol\u00edtica de filtrado\u00bb.<\/em><br \/>\n<a href=\"#_ftnref18\" name=\"_ftn18\">[18]<\/a>La validaci\u00f3n de origen de direcci\u00f3n IP consiste en t\u00e9cnicas que se utilizan para asegurar que la direcci\u00f3n IP proporcionada por un paquete provenga de una direcci\u00f3n de origen v\u00e1lida.<br \/>\n<a href=\"#_ftnref19\" name=\"_ftn19\">[19]<\/a><a href=\"https:\/\/www.nccoe.nist.gov\/sites\/default\/files\/library\/sp1800\/sidr-piir-nist-sp1800-14-draft.pdf\">https:\/\/www.nccoe.nist.gov\/sites\/default\/files\/library\/sp1800\/sidr-piir-nist-sp1800-14-draft.pdf<\/a><br \/>\n<a href=\"#_ftnref20\" name=\"_ftn20\">[20]<\/a><a href=\"https:\/\/tools.ietf.org\/html\/draft-sriram-opsec-urpf-improvements-03\">https:\/\/tools.ietf.org\/html\/draft-sriram-opsec-urpf-improvements-03<\/a><br \/>\n<a href=\"#_ftnref21\" name=\"_ftn21\">[21]<\/a><a href=\"https:\/\/www.manrs.org\/\">https:\/\/www.manrs.org\/<\/a><br \/>\n<a href=\"#_ftnref22\" name=\"_ftn22\">[22]<\/a><a href=\"https:\/\/www.manrs.org\/manrs\/\">https:\/\/www.manrs.org\/manrs\/<\/a><br \/>\n<a href=\"#_ftnref23\" name=\"_ftn23\">[23]<\/a>Como los incidentes de enrutamiento\u00a0se resuelven mejor cerca de su origen, son imprescindibles las acciones para mejorar la coordinaci\u00f3n entre operadores de redes (que puede ser tan simple como tener la informaci\u00f3n de contacto disponible al p\u00fablico y actualizada).<br \/>\n<a href=\"#_ftnref24\" name=\"_ftn24\">[24]<\/a>Al documentar p\u00fablicamente su pol\u00edtica de enrutamiento\u00a0y lo que pretenden anunciar a las partes externas, otros pueden validar sus anuncios.<br \/>\n<a href=\"#_ftnref25\" name=\"_ftn25\">[25]<\/a>Hay un portal en l\u00ednea para ver estas m\u00e9tricas, se llama The MANRS\u00a0Observatory, est\u00e1 en desarrollo y se espera que est\u00e9 listo a finales de 2018.<br \/>\n<a href=\"#_ftnref26\" name=\"_ftn26\">[26]<\/a>\u00abEn la pol\u00edtica, a dicha metodolog\u00eda se le conoce como principio de subsidiariedad: las soluciones deben definirse e implementarse mediante una autoridad competente m\u00e1s peque\u00f1a, inferior o menos centralizada\u00bb.<a href=\"https:\/\/www.internetsociety.org\/collaborativesecurity\/approach\/#_ftnref5\">https:\/\/www.internetsociety.org\/collaborativesecurity\/approach\/#_ftnref5<\/a><br \/>\n<a href=\"#_ftnref27\" name=\"_ftn27\">[27]<\/a>BGPSec es una extensi\u00f3n del Protocolo de puerta de enlace de frontera (Border\u00a0Gateway\u00a0Protocol, o BGP), el cual provee seguridad para la ruta de sistemas aut\u00f3nomos (AS) a trav\u00e9s de los cuales pasa un mensaje de actualizaci\u00f3n de BGP.<a href=\"https:\/\/tools.ietf.org\/html\/rfc8205\">https:\/\/tools.ietf.org\/html\/rfc8205<\/a><br \/>\n<a href=\"#_ftnref28\" name=\"_ftn28\">[28]<\/a>\u00abCon RPKI, la Infraestructura de claves p\u00fablicas de recursos (Resource Public Key Infrastructure), los anuncios de ruta del Protocolo de puerta de enlace de frontera\u00a0(BGP) que se emiten desde un enrutador\u00a0se validan para asegurar que la ruta provenga del que posee los recursos y que sea una ruta valida.\u00bb<a href=\"https:\/\/www.arin.net\/resources\/rpki\/\">https:\/\/www.arin.net\/resources\/rpki\/<\/a><br \/>\n<a href=\"#_ftnref29\" name=\"_ftn29\">[29]<\/a>Informe de estudio del proyecto MANRS. Investigaci\u00f3n 451.<a href=\"https:\/\/www.routingmanifesto.org\/wp-content\/uploads\/sites\/14\/2017\/10\/MANRS-451-Study-Report.pdf\">https:\/\/www.routingmanifesto.org\/wp-content\/uploads\/sites\/14\/2017\/10\/MANRS-451-Study-Report.pdf<\/a><br \/>\n<a href=\"#_ftnref30\" name=\"_ftn30\">[30]<\/a>MANRS, un conjunto visible de pr\u00e1cticas recomendadas y a trav\u00e9s de sus mediciones p\u00fablicas que se proporcionan a trav\u00e9s del MANRS\u00a0Observatory, tiene el potencial de ser una herramienta de marketing poderosa para los proveedores de servicios de Internet.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aunque el usuario promedio no lo puede ver, el enrutamiento del Protocolo Internet (IP) es el apoyo de Internet. Al asegurar que los paquetes[1]\u00a0vayan a donde se supone que deben hacerlo, el enrutamiento[2]\u00a0desempe\u00f1a un rol central en la funci\u00f3n confiable de Internet. Se asegura de que los correos electr\u00f3nicos lleguen a los destinatarios correctos, que [&hellip;]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[186,179,2546,4910,4777],"tags":[6251,6255,6269],"region_news_regions":[6030],"content_category":[6106],"ppma_author":[4057],"class_list":["post-88971","resources","type-resources","status-publish","hentry","category-confianza","category-seguridad","category-manrs-es","category-fortalecimiento-de-internet","category-seguridad-es","tag-normas-mutuamente-acordadas-para-la-seguridad-del-enrutamiento-manrs","tag-protocolo-de-puerta-de-enlace-de-frontera-bgp","tag-seguridad-de-enrutamiento","region_news_regions-global","resource_types-recurso","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/es\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"Aunque el usuario promedio no lo puede ver, el enrutamiento del Protocolo Internet (IP) es el apoyo de Internet. Al asegurar que los paquetes[1]\u00a0vayan a donde se supone que deben hacerlo, el enrutamiento[2]\u00a0desempe\u00f1a un rol central en la funci\u00f3n confiable de Internet. Se asegura de que los correos electr\u00f3nicos lleguen a los destinatarios correctos, que&hellip;","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/resources\/88971","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/media?parent=88971"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/categories?post=88971"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/tags?post=88971"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/region_news_regions?post=88971"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/content_category?post=88971"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/ppma_author?post=88971"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}