Los operadores que forman parte de la infraestructura de Internet tienen la tarea de asegurarse de que proporcionan un servicio en el que sus clientes pueden confiar. Aunque el funcionamiento de los puntos de intercambio de Internet es claramente una actividad B2B, al final lo que importa es la confianza del usuario final que está sentado frente a su ordenador portátil o su teléfono móvil.
Para un nodo de intercambio de tráfico (IX, por sus siglas en inglés), son fundamentales la investigación y el desarrollo continuos, las auditorías y certificaciones de seguridad y el desarrollo y mantenimiento de las mejores prácticas en el proceso de garantizar la seguridad de la red, así como la prestación de servicios de seguridad adicionales para protegerla de daños intencionados y accidentales.
A medida que las empresas intercambian cada vez más datos a lo largo de sus cadenas de valor digitales, necesitan examinar más de cerca cómo proteger sus conexiones con socios de confianza y con sus recursos digitales en la nube. En este contexto, DE-CIX explica cómo una plataforma de intercambio puede proteger las redes conectadas frente a los tres incidentes de seguridad maliciosos y accidentales más comunes.
1.Ataques DDoS
Probablemente el tipo de ataque más conocido que puede sufrir uno de estos nodos pero que se puede controlar es el ataque DDoS volumétrico. El objetivo de un ataque DDoS es impedir que un determinado destino se comunique con Internet. Por ejemplo, una tienda online alojada en un servidor web podría sufrir este ataque de su principal competidor. Un ataque DDoS a su servidor web provocaría que dejara de ser accesible para sus clientes y todos los clientes se irán a comprar a otro sitio (por ejemplo, a dicho competidor).
Para mitigar un ataque DDoS, DE-CIX recomienda utilizar servicios como Blackholing Advanced. Teniendo blackholing estándar, se puede proteger una dirección IP de manera que impida que se envíe tráfico a ella mientras está siendo atacada, sin daños colaterales para las redes, pero dejando al otro lado sin comunicación. La tecnología Advance va un paso más allá y no sólo limita los datos que se envían a una dirección IP, sino que bloquea únicamente el puerto TCP/UDP en particular y permite que todos los demás puertos sigan siendo accesibles. En consecuencia, la red puede seguir comunicándose.
2.Secuestro de IP
Otro riesgo para las redes en Internet es la inseguridad a través del secuestro de IP. Por ejemplo, un actor malicioso quiere intervenir el tráfico que va a un destino IP de una tienda online porque quiere robar los datos de las tarjetas de crédito de los clientes de la tienda. Si consigue activar de forma correcta el espacio IP de la tienda web, puede llegar a recibir todas las peticiones que van llegando de los clientes, dejando caer el tráfico para que los pedidos no reciban respuesta y habiendo obtenido la información que quería.
Con el aumento del número de redes y de la cantidad de IP conectadas a Internet, la creciente dependencia de la sociedad de la infraestructura digital y también el valor de los datos que se comparten, es lógico esperar que el secuestro de IP -ya sea malicioso o no- vaya en aumento. Por eso, tecnologías como la validación de origen RPKI y el filtrado IRR, que se proporcionan en los servidores de rutas como las de DE-CIX, pueden utilizarse para mitigar el problema. La función de RPKI es la validación del origen para asegurar que no sea tan fácil activar accidentalmente el espacio IP equivocado por un error de escritura o similar. Por otro lado, el filtrado IRR (Internet Routing Registries) se utiliza para evitar la propagación de información de enrutamiento incorrecta.
3.Secuestro de ASN
¿Otro problema de seguridad frecuente? El secuestro del número de sistema autónomo (ASN). Toda red que quiera formar parte de Internet necesita un (ASN). Al secuestrar el ASN de alguien, puedes hacerte pasar por otra persona. Esto se puede utilizar de forma maliciosa, principalmente para enviar cosas no deseadas como spam y realizar ataques DDoS.
En este caso, es muy difícil determinar realmente quién está detrás del número: el propietario legítimo o un actor malicioso, por lo que puede dar lugar a que se le incluya en una lista de bloqueo o a problemas de reputación mucho peores. Por lo tanto, lo mejor es que las empresas vigilen su número ASN aunque no lo utilicen actualmente.
“Cada vez más, vemos que los clientes de interconexión se fijan hoy en día no sólo en el tipo de características de seguridad de la parte superior que ofrece una IX, sino también en cómo se opera la plataforma de interconexión. Quieren ver pruebas de que las operaciones siguen ciertos criterios y mejores prácticas, para saber que una empresa de servicios de información funciona de forma segura y fiable. Es algo que tenemos muy en cuenta en DE-CIX y trabajamos constantemente en ofrecer el mejor servicio a nuestros clientes, asegurando la mayor seguridad posible”, señala Thomas King, director de Tecnología de DE-CIX.
