Empecemos por el principio: internet es una conexión de muchas redes. Para mantener el orden sobre dónde va cada cosa tiene los sistemas de nombre de dominio, los DNS, que asignan una IP (una especie de matrícula única) a cada dispositivo. Una internet sin DNS es como correos sin direcciones. Pero para que la información llegue a esas direcciones necesita tener una ruta, las instrucciones GPS para el cartero de correos. El protocolo BGP (Border Gateway Protocol) es esa ruta, que marca la forma más eficiente de llegar a cualquier dirección IP.
Esas rutas se actualizan, igual que lo hace nuestro GPS, para encontrar el camino más eficiente en cada momento. En la última actualización, los operarios de Facebook cometieron supuestamente un error que metafóricamente bloqueó la carretera de llegada a sus servidores. Eso se tradujo en que borraron del GPS toda posible ruta a Facebook: nadie fuera de su red podía encontrarlas. En el GPS del cartero, Facebook simplemente no aparecía.
Eso no solo creó problemas para Facebook: dado el tamaño de las plataformas que pertenecen a la compañía, hizo de cuello de botella y causó retrasos en otras plataformas, que tardaban más de lo habitual en cargarse. Al final, Facebook consiguió solucionarlo. ¿Cómo? Todo indica a que tuvo que hacerse manualmente, a través de operarios con acceso físico a los enrutadores y servidores en EE UU donde sucedió el problema.
Por qué falla el BGP y cómo cargarse internet en cuestión de minutos
El BGP es el protocolo de enrutamiento estándar en internet. Un fallo en este protocolo podría afectar a cualquier servicio que dependa de internet, no solo a WhatsApp o Facebook. Esos fallos o anomalías en el comportamiento de BGP pueden tener varias causas (por ejemplo, una mala configuración o un ciberataque). Detectarlas no es fácil: requiere de proyectos de recopilación de datos de BGP que han de estudiarse para entender qué anomalías pueden surgir.
Alguien se preguntará, ¿cómo es posible que no haya un sistema que detecte esas anomalías y las bloquee? ¿Cómo es posible que cuando un técnico va a realizar una operación potencialmente de riesgo no aparezca un aviso o petición de confirmación para cuestionar si realmente quiere hacer eso, y las consecuencias que podría tener? Algo como el mensaje que aparece en nuestro ordenador cuando decidimos borrar definitivamente todos los archivos en nuestra papelera: “¿Está seguro de que quiere hacerlo? Esta opción no se puede deshacer”.
Como me dijo Vint Cerf, el padre de internet, cuando le entrevisté para mi libro Error 404. ¿Preparados para un mundo sin internet?, “es crucial proteger el protocolo BGP de información errónea que podría ser causada por errores de configuración y de otro tipo, o insertada intencionalmente”. Este problema se lleva tratando de solucionar mucho tiempo, pero es muy lento y, como reconoce el propio Cerf, “es extremadamente difícil”.
Todo esto lo advirtió ya en 1998 el conocido hacker Peiter Zatko, alias Mudge (ahora director de ciberseguridad de Twitter). Mudge y sus compañeros del grupo L0pht (el equivalente en el mundo hacker a lo que The Beatles es para la música) testificaron sobre ello ante el Congreso de EE UU.
Los integrantes de L0ph habían encontrado una vulnerabilidad de muchas en el protocolo BGP. Su conclusión fue que, a través de ellas, cualquiera podría, en cuestión de minutos, cargarse internet. 10 años después, lo que parecía una posibilidad teórica se demostró en una conferencia en San Francisco. The Wired lo definió como “el mayor agujero de seguridad de internet”.
Hacia el apagón total
Sin embargo, el protocolo BGP no es, ni mucho menos, el único punto vulnerable de la red de redes. Internet no fue diseñada para realizar de forma segura todas las tareas que se le pide que realice hoy. Por eso hay muchas otras posibles causas de caídas masivas, ya sea ante fallos inesperados o errores humanos no intencionados, o ante ciberataques. Por ejemplo, un fallo en el llamado sistema de nombres de dominio (DNS).
El DNS, como el protocolo BGP, es una parte crítica de internet. Su columna dorsal. Es el sistema que traduce los nombres de cada web a lenguaje máquina, en forma de dirección IP. Es lo que permite que todo en internet esté conectado y se hable entre sí. ¿Cómo podría fallar a lo grande? Digamos que hay una base de datos donde están las listas de los diferentes tipos de dominio (.com, .net, .es, .org, etcétera) y de quién dependen. Si se borra esa base de datos, se tardaría al menos tres o cuatro días en restaurarla, según me contaba en una entrevista para el libro João Damas, uno de los llamados 14 Guardianes de Internet repartidos por todo el mundo. Su misión es precisamente proteger el DNS.
Ver más en El País
