BGP: cómo internet rutea el tráfico global
Dedicados & VPS
23

Internet no es una sola red

Un error común es imaginar internet como una gran red uniforme. En realidad es una colección enorme de redes separadas (cada proveedor, cada empresa grande, cada universidad, cada datacenter) que se interconectan y se anuncian rutas entre sí. Cada una de esas redes se llama un Sistema Autónomo, o AS por sus siglas en inglés.

Para que todas esas redes se entiendan y sepan por dónde llegar a tus servidores, usan un protocolo llamado BGP: Border Gateway Protocol. Es el lenguaje con el que internet se cuenta a sí mismo cómo llegar a cada rincón del mundo.

Qué hace BGP exactamente

Cada AS tiene un número único (por ejemplo, AS15169 es Google y AS32934 es Meta). Los routers en el borde de cada AS establecen sesiones BGP con routers de otros AS vecinos. A través de esas sesiones se intercambian listas de prefijos IP: "yo sé cómo llegar a 203.0.113.0/24, pásame el tráfico si lo necesitas."

Cuando un paquete viaja por internet, cada router consulta su tabla BGP y lo entrega al siguiente AS en el camino hacia el destino. El camino no es fijo: BGP elige en función de políticas (preferencias locales, longitud del camino de AS, costos comerciales).

Por qué un fallo BGP puede tumbar internet

BGP es un protocolo viejo, muy confiado por diseño. Si alguien anuncia por error que su AS puede alcanzar una IP que no le pertenece, muchos routers le creerán y le mandarán el tráfico. Esto se conoce como route hijacking o BGP leak, y ha causado caídas globales reales: Facebook perdió presencia en internet durante horas en 2021 porque se retiraron accidentalmente anuncios BGP de sus propias redes. Cloudflare y otros han sufrido incidentes similares.

El problema es que, cuando BGP se desconfigura, no solo falla un servicio específico: desaparece del mapa. Es como si la ciudad se borrara del GPS del mundo entero.

Route hijacking

El hijacking puede ser accidental (un ingeniero copia mal una configuración) o malicioso (un actor estatal desvía tráfico para espiarlo). En ambos casos el resultado es el mismo: tráfico legítimo se desvía a un lugar incorrecto.

RPKI: la respuesta moderna

La industria está adoptando RPKI (Resource Public Key Infrastructure) para firmar criptográficamente los anuncios BGP. Con RPKI, un router puede verificar si quien dice ser dueño de un prefijo realmente lo es. Si un hijacking intenta anunciar una ruta falsa, los routers con RPKI activo la descartan. La adopción todavía no es universal, pero crece rápido porque los incidentes son cada vez más visibles.

Por qué te debería importar

Como cliente de hosting tú no vas a hablar BGP directamente (a menos que contrates un bloque propio y un ASN, lo cual es caro y rara vez necesario). Pero es útil saber que cuando un servicio global como Cloudflare o Amazon se cae de golpe en todo el mundo, frecuentemente la causa raíz es BGP. Y cuando tu proveedor de hosting presume de tener "red optimizada", lo que realmente está diciendo es que tiene buenas sesiones BGP con muchos peers.