Dominios .com y .net lo confirman: las direcciones principales de Internet son las más vulnerables

Internet puede considerarse protegido frente al secuestro de rutas, pero un nuevo estudio muestra que esa protección puede derrumbarse por problemas banales en la infraestructura. Los investigadores descubrieron que casi la mitad de los puntos de publicación de la infraestructura de claves públicas RPKI son vulnerables a la suplantación de DNS (sistema de nombres de dominio), y la gran mayoría dependen de servidores de nombres sin una protección de enrutamiento completa.

El trabajo fue presentado en el simposio NDSS 2026. Los autores analizaron cómo el software validador de RPKI obtiene datos de los puntos de publicación y qué puntos débiles surgen en ese proceso.

RPKI se considera un mecanismo clave de protección contra el secuestro de prefijos en el protocolo de enrutamiento entre fronteras. Los propietarios de bloques de direcciones publican objetos firmados criptográficamente que confirman qué sistema autónomo tiene derecho a anunciar un prefijo concreto. Pero para que esa protección funcione, los validadores deben descargar regularmente los datos de repositorios especiales. Y aquí empieza lo más interesante.

Los investigadores identificaron 64 puntos de publicación. De ellos, 31, es decir, el 48,4%, tienen al menos una zona en la cadena de resolución de nombres sin protección DNSSEC. Esto significa que un atacante puede falsificar la respuesta DNS y dirigir al validador a un servidor falso. En varios casos el problema está relacionado con el uso de proveedores DNS externos sin la firma criptográfica de las zonas activada. En dos casos la vulnerabilidad surgió por la redirección mediante CNAME a dominios externos sin DNSSEC.

La situación con la protección de enrutamiento es aún peor. En 55 puntos de publicación, es decir, el 85,9%, en la cadena de resolución de nombres hay al menos un servidor de nombres cuyo prefijo IP no está protegido mediante registros ROA. Además, buena parte del problema está relacionada con los dominios genéricos de primer nivel .com y .net. De 13 servidores autoritativos de gTLD, solo tres tenían registros ROA correctos, y aun allí la protección resultó ser formal por la publicación de prefijos demasiado estrechos.

También se encontraron problemas en la etapa de descarga de datos. Cuatro puntos de publicación con direcciones IP estáticas no registraron ROA para sus servidores. Otro, perteneciente a RIPE, utiliza una red de entrega de contenido con direcciones IP diferentes según el país, y en varias regiones esas direcciones también carecieron de protección. Como resultado, el secuestro de rutas puede tener éxito no de forma global, sino puntualmente, en países concretos.

La modelización de ataques mostró que las consecuencias pueden ser de gran alcance. En el caso del punto de publicación más vulnerable, entre el 65% y el 83% de los sistemas autónomos corren el riesgo de perder el acceso a él en caso de un secuestro exitoso del prefijo. Incluso ataques menos eficaces provocan que más del 20% de las redes dejen de recibir datos actualizados.

Un problema adicional es la dependencia de unos puntos de publicación respecto a otros. Algunas grandes oficinas regionales de asignación de direcciones IP se apoyan en la infraestructura de repositorios menos protegidos. Si tal nodo subordinado se vuelve inaccesible o pierde la protección de enrutamiento, el efecto puede propagarse más a lo largo de la cadena. Los autores mostraron que en ciertos escenarios la proporción de direcciones IP con protección activa puede reducirse del 14,58% al 50,89% en caso de una falla en cascada.

Los autores extraen una conclusión preocupante. Incluso con el aumento del número de registros ROA y la implantación de la validación de rutas, la protección RPKI depende de la fiabilidad del DNS y del registro correcto de los prefijos. Mientras estos elementos básicos estén configurados con descuido o externalizados sin el control adecuado, la infraestructura seguirá siendo vulnerable al secuestro y a la suplantación.