Resumen

  • En junio de 2019, una fuga de rutas BGP que involucró a una pequeña red, un optimizador de rutas y Verizon interrumpió la accesibilidad de Cloudflare y otros servicios. La respuesta pública de Cloudflare destacó correctamente las fallas en la seguridad del enrutamiento fuera de su red directa.
  • La nueva perspectiva es la reparación verificable frente a la tranquilidad. Después de una fuga de rutas, los clientes de un proveedor necesitan más que una explicación segura; necesitan evidencia de que la autoridad de origen de ruta, el filtrado ascendente, la validación y el monitoreo han mejorado.
  • Cloudflare no fue el originador de la fuga según los registros públicos, pero tenía control práctico sobre su propia autoridad de ruta, la promoción de RPKI, la comunicación con los clientes, el monitoreo, la presión sobre los tránsitos y la explicación pública del riesgo residual.
  • Verizon y la red que filtró controlaban puntos de propagación de alto impacto. Por lo tanto, el mapa de responsabilidad separa el origen, el amplificador, el proveedor afectado, las redes que validan y los clientes, en lugar de tratar a Internet como un accidente sin rostro.
  • La lección duradera es que los incidentes de enrutamiento deben dejar artefactos medibles: ROAs, rechazo de rutas inválidas, cambios en los filtros, requisitos de pares, datos de rutas públicos, cronogramas de incidentes y orientación al cliente sobre lo que se puede y no se puede asegurar solo mediante la acción del proveedor.

Registro de evidencias y cómo se utiliza

Este artículo utiliza el análisis público de incidentes de Cloudflare como relato de primera mano del proveedor afectado, fuentes externas de enrutamiento y de la industria para el contexto de seguridad de enrutamiento, y RFCs o guías gubernamentales para los controles actuales de BGP, RPKI y fugas de rutas. Los estándares posteriores se utilizan para enmarcar la reparación verificable, no como deberes legales retroactivos para cada participante de 2019.

#Registro públicoUso en este análisis
1Cloudflare, Verizon y un optimizador BGP: análisis de la interrupciónExplicación principal del proveedor afectado sobre la fuga de rutas de junio de 2019, la propagación de Verizon y las lecciones de seguridad de enrutamiento.
2Explicación de RPKI por CloudflareExplicación de Cloudflare sobre la autorización de origen de ruta y la validación como contexto de reparación.
3Actualizaciones y datos de RPKI de CloudflareMedición posterior de la seguridad de enrutamiento por parte de Cloudflare y marco para el rechazo de rutas inválidas.
4Acciones de operadores de red de MANRSNormas de la industria para filtrado, anti-suplantación, coordinación y validación global.
5Nota de incidente de fuga de rutas de MANRSDiscusión de seguridad de enrutamiento en la industria sobre la fuga de junio de 2019 y las responsabilidades de los operadores.
6NIST SP 800-189Guía gubernamental sobre intercambio de tráfico entre dominios resiliente, seguridad BGP y filtrado de rutas.
7RFC 4271Referencia del protocolo BGP-4.
8RFC 7908Definición y clasificación del problema de fuga de rutas.
9RFC 9234Roles BGP y mecanismo de prevención de fugas de rutas Only-to-Customer.
10RFC 6480Referencia de arquitectura RPKI.
11RFC 6811Referencia de validación de origen de prefijos BGP.
12Recursos RPKI de ARINContexto del registro regional de Internet para crear autorizaciones de origen de ruta.
13RIPE RISContexto del ecosistema de recolección de rutas públicas para la visibilidad de rutas.
14University of Oregon RouteViewsContexto de la infraestructura de observación BGP pública.
15Is BGP Safe Yet?Contexto de educación pública y promoción para la adopción de RPKI.
16PeeringDBContexto del ecosistema de interconexión y peering público.
17Centro de aprendizaje de Cloudflare, BGPExplicación en lenguaje sencillo de BGP utilizada junto con la RFC 4271.
18Cloudflare 2019 Form 10-KContexto del negocio de la empresa y riesgos de red perimetral.

La tranquilidad no es reparación

Las fugas de rutas generan un problema predecible de comunicación pública. El proveedor afectado quiere tranquilizar a los clientes diciendo que la interrupción fue causada fuera de su control directo. Eso puede ser cierto. En junio de 2019, el análisis público de Cloudflare identificó un comportamiento de propagación de rutas que involucraba a Verizon y un optimizador de rutas utilizado por una red más pequeña. Cloudflare era un proveedor afectado, no la fuente original de la información de enrutamiento incorrecta. Pero los clientes no compran solo la asignación de culpas. Compran un servicio accesible.

Después de un incidente de enrutamiento, la tranquilidad debe convertirse en evidencia de reparación.

La evidencia de reparación responde preguntas que la tranquilidad no puede. ¿Publicó el proveedor afectado autorizaciones de origen de ruta precisas para sus prefijos? ¿Rechazan sus proveedores de tránsito las rutas inválidas o no autorizadas? ¿Rechaza el propio proveedor las rutas inválidas de otros? ¿Ha presionado o seleccionado pares basándose en la higiene de enrutamiento? ¿Pueden los clientes ver si los datos de enrutamiento público respaldan el análisis post mortem? ¿Revela el proveedor los riesgos residuales que quedan fuera de su control? ¿Qué controles cambiaron después del evento?

La respuesta de Cloudflare es interesante porque la empresa ya se posicionaba como defensora de la seguridad de enrutamiento. Publicó explicaciones sobre RPKI y llamó la atención sobre la necesidad de filtrado y validación de rutas. Esa defensa es valiosa. La cuestión de la responsabilidad es cómo hacerla verificable. Un proveedor puede decir que el sistema de enrutamiento necesita mejoras. Los clientes necesitan saber qué hizo el propio proveedor: ROAs, políticas de validación, requisitos de tránsito, monitoreo, comunicaciones con los clientes y simulacros de incidentes.

Esta distinción no es pedante. El enrutamiento de Internet es un sistema de confianza con muchas relaciones privadas. Los clientes no pueden inspeccionar cada filtro de tránsito o política de pares. Por lo tanto, la evidencia pública es esencial. Los recolectores de rutas, los repositorios RPKI, la participación en MANRS, los cronogramas de incidentes y las declaraciones de los proveedores se convierten en sustitutos de la inspección directa. Cuanto más sólida sea la evidencia pública, menos deberán depender los clientes de la confianza en la marca.

La tranquilidad también tiene una vida útil. Inmediatamente después de un incidente, puede calmar a los clientes. Meses después, la pregunta importante es si la debilidad de interconexión es menor. Una fuga de rutas que solo deja una entrada de blog ha enseñado menos a Internet que una que deja validación medible, mejores filtros y presión pública por la responsabilidad. La lección principal es que la reparación debe ser inspeccionable.

La fuga tuvo roles de origen, amplificador y víctima

Los incidentes de enrutamiento a menudo se describen como si Internet fallara en general. Ese lenguaje es demasiado vago para la responsabilidad. Un mapa útil de fugas de rutas separa los roles. Una red filtró u originó información de ruta problemática. Otra red con mayor alcance la aceptó y propagó. Los proveedores afectados, como Cloudflare, vieron su tráfico desviado o su accesibilidad afectada. Otras redes aceptaron, rechazaron u observaron la ruta. Los clientes experimentaron una falla del servicio sin controlar ninguna de esas decisiones de enrutamiento.

Este mapa de roles evita dos errores. El primer error es culpar al proveedor afectado por cada falla de accesibilidad. Cloudflare no controlaba la aceptación de rutas de Verizon ni el optimizador de rutas de la red más pequeña. El segundo error es eximir completamente al proveedor afectado porque la fuga se originó en otro lugar. Cloudflare aún controlaba su propia autoridad de ruta, su propia postura de validación, su propio monitoreo, su propia comunicación con los clientes y su propia presión comercial sobre los socios de red. La responsabilidad se distribuye, no se disuelve.

El rol de Verizon fue importante porque la amplificación determina el radio de explosión. Una ruta incorrecta de una red pequeña puede permanecer pequeña si los proveedores ascendentes la filtran. La propagación de un proveedor de tránsito importante puede hacerla global. Por eso el filtrado ascendente no es una cortesía opcional. Es una obligación de seguridad para las redes que venden alcance. Cuanto más alcance tiene un proveedor, más cuidadosamente debe validar lo que propaga.

El ángulo del optimizador de rutas también es una advertencia sobre la automatización. Las herramientas que optimizan las decisiones BGP pueden crear cambios de enrutamiento de alto impacto. Si se permite que dichas herramientas filtren rutas a través de las relaciones entre proveedores, pueden convertir la ingeniería de tráfico comercial en una interrupción pública. La automatización no reduce la responsabilidad; aumenta la necesidad de restricciones, pruebas de políticas de enrutamiento y monitoreo.

El rol de proveedor afectado de Cloudflare conlleva una obligación diferente: hacer visible la falla de control externo, explicarla con precisión y convertir el evento en demandas más fuertes de seguridad de enrutamiento. Esa es una forma legítima de responsabilidad. Un proveedor puede ayudar a reparar el ecosistema incluso cuando no causó la fuga original. La clave es hacer que la reparación sea medible.

RPKI cambia el estándar de evidencia

RPKI es importante porque convierte algunas cuestiones de autoridad de ruta en datos verificables criptográficamente. Un titular de recursos puede publicar una autorización de origen de ruta indicando qué sistema autónomo está autorizado para originar un prefijo y con qué longitud máxima. Las redes que realizan validación de origen de ruta pueden clasificar las rutas recibidas y rechazar orígenes inválidos cuando la política lo requiera. Esto no resuelve todas las fugas de rutas, pero cambia lo que se puede probar.

Para Cloudflare, RPKI no era solo una solución técnica. Era un instrumento de responsabilidad. Si la empresa publica ROAs precisos para sus prefijos, los clientes y otras redes pueden inspeccionar parte del registro de autoridad. Si las redes rechazan rutas inválidas, algunos anuncios de origen incorrecto se vuelven menos peligrosos. Si Cloudflare mide y promueve la adopción, crea presión sobre las redes que aún aceptan autoridad inválida. La reparación se vuelve menos dependiente de garantías privadas.

RPKI no es un escudo mágico. Una fuga de rutas puede implicar una ruta que sigue siendo válida en origen porque el AS de origen original todavía está autorizado, mientras que la relación de ruta es incorrecta. Por eso importan la taxonomía de fugas de rutas de la RFC 7908 y mecanismos posteriores como los roles BGP. La validación de origen de ruta responde quién puede originar; la prevención de fugas de rutas también pregunta si la ruta debe propagarse a través de una relación determinada. La reparación verificable debe incluir tanto la validación de origen como el filtrado consciente de las relaciones.

Este matiz es importante para una comunicación honesta con los clientes. Un proveedor no debe insinuar que RPKI hace imposibles todos los incidentes de enrutamiento. Debe explicar qué puede prevenir RPKI, qué no puede prevenir y qué controles complementarios se necesitan. Los clientes pueden entonces comprender el riesgo residual. Exagerar un control es otra forma de tranquilidad sin reparación.

El valor público de RPKI es que crea artefactos. Los ROAs pueden verificarse. El rechazo de rutas inválidas puede medirse. La adopción puede rastrearse. Se puede preguntar a los operadores de red por qué validan o no validan. Estos artefactos dan a los clientes algo más firme que una disculpa posterior al incidente. La defensa de la seguridad de enrutamiento de Cloudflare es más fuerte cuando está vinculada a dicha evidencia inspeccionable.

Las normas al estilo MANRS convierten el enrutamiento privado en expectativa pública

MANRS importa porque la seguridad del enrutamiento no puede ser resuelta por un solo proveedor. La red que origina, el ascendente que acepta, el par que propaga y el descendente que valida, todos dan forma al resultado. Las normas voluntarias como el filtrado, la anti-suplantación, la coordinación y la validación global hacen visible el comportamiento de interconexión privada como una expectativa pública. No garantizan el cumplimiento, pero definen lo que los operadores responsables deberían poder mostrar.

Para el incidente de junio de 2019, la lente de MANRS es directa. La fuga se volvió dañina porque la información de enrutamiento incorrecta escapó de un límite de relación y se propagó ampliamente. Filtrar los anuncios de clientes y mantener información de enrutamiento precisa son deberes centrales de prevención. La coordinación y la preparación de contactos importan una vez que la fuga está en marcha. La validación importa en las redes que reciben la ruta. El sistema necesita todos estos controles porque ninguna capa por sí sola detecta todas las fallas.

Por lo tanto, la respuesta de Cloudflare debe juzgarse en parte por cómo utilizó su posición en el mercado para impulsar esas normas. ¿Exigió una mejor higiene de enrutamiento a los proveedores de tránsito? ¿Publicitó el papel del filtrado? ¿Hizo más fácil o más visible la adopción de la seguridad de enrutamiento? ¿Apoyó la educación pública para que los clientes entendieran por qué importan las elecciones de los proveedores ascendentes? Esas acciones pueden convertir una interrupción en presión sobre el ecosistema.

Los clientes también pueden utilizar preguntas al estilo MANRS en las adquisiciones. ¿Filtra el proveedor las rutas de los clientes? ¿Valida RPKI? ¿Mantiene objetos de ruta precisos? ¿Tiene contactos de seguridad de enrutamiento las 24 horas? ¿Participa en iniciativas reconocidas de seguridad de enrutamiento? ¿Publica informes de incidentes cuando el enrutamiento falla? Un cliente que compra seguridad perimetral debería preguntar sobre la seguridad del enrutamiento, porque el perímetro solo es accesible a través del sistema de enrutamiento.

La cuestión no es que las normas voluntarias reemplacen la regulación o el contrato. La cuestión es que el comportamiento de enrutamiento a menudo se sitúa entre los contratos privados y el daño público. Las expectativas al estilo MANRS dan a los clientes y pares un vocabulario para preguntar sobre ese comportamiento. La reparación verificable depende de un vocabulario que pueda ser probado.

La evidencia BGP pública es parte del registro del incidente

Las fugas de rutas son inusuales entre los incidentes de infraestructura porque los externos pueden observar partes importantes de ellas. RouteViews, RIPE RIS y otros recolectores no revelan la intención privada del enrutador, pero pueden mostrar anuncios, retiros, rutas AS y tiempos desde muchos puntos de observación. Esa evidencia pública ayuda a validar o cuestionar las narrativas de los incidentes. También ayuda a los proveedores afectados a explicar lo sucedido sin pedir a los clientes que acepten cada afirmación por fe.

El análisis público de Cloudflare utilizó evidencia de enrutamiento para mostrar cómo se desarrolló la interrupción. Esa es una buena práctica. Un análisis post mortem de una fuga de rutas debe incluir suficientes datos de rutas públicas para hacer legible el mecanismo: qué prefijos se vieron afectados, qué rutas AS estuvieron involucradas, qué cambió con el tiempo, cuándo se detuvo la propagación y qué mitigaciones fueron importantes. El objetivo no es abrumar a los lectores con tablas BGP. Es hacer que la historia causal sea auditable.

La evidencia pública también protege contra la culpa vaga. Si un proveedor dice que un ascendente filtró rutas, el registro de rutas debe respaldar esa afirmación. Si un ascendente dice que arregló el filtrado, el comportamiento posterior de las rutas debe ser consistente con la solución. Si una red dice que rechaza las rutas RPKI inválidas, la medición pública debería poder probarlo en términos generales. Cuanto más medibles se vuelven las afirmaciones de seguridad de enrutamiento, menos espacio hay para una reparación basada solo en la reputación.

Los clientes deben solicitar evidencia de rutas posterior al incidente en un formato utilizable. Una narrativa breve es útil para los ejecutivos. Un apéndice técnico es útil para los equipos de red. Un cronograma es útil para los gestores de incidentes. Una lista de controles modificados es útil para los propietarios de riesgos. Un cliente no debería necesitar ser un experto en BGP para comprender si el proveedor ha pasado de la explicación a la reparación.

La evidencia de rutas públicas tiene límites. Puede no capturar cada par privado, decisión de política o alarma interna. Puede ser ruidosa. Puede requerir interpretación experta. Pero sus limitaciones no son una razón para omitirla. En la responsabilidad del enrutamiento, la evidencia pública incompleta sigue siendo mejor que la tranquilidad privada por sí sola.

La responsabilidad del proveedor de tránsito es el punto de alto apalancamiento

El incidente de junio de 2019 mostró nuevamente que los proveedores de tránsito tienen un alto apalancamiento. Una red pequeña puede filtrar. Un optimizador de rutas puede comportarse mal. Pero un proveedor de tránsito importante puede decidir si esa ruta se vuelve ampliamente creída. Los filtros de clientes del proveedor, los límites de prefijos, la validación de rutas y las políticas de relación son controles de seguridad pública porque determinan hasta dónde viaja la información incorrecta.

Aquí es donde los incentivos comerciales pueden fallar. Los proveedores de tránsito compiten en alcance, rendimiento y precio. El filtrado y la validación requieren esfuerzo operativo y pueden crear fricción con los clientes. Si el mercado no recompensa la higiene de enrutamiento, los proveedores pueden invertir poco hasta que un incidente genere un costo reputacional. Por lo tanto, los clientes y las redes afectadas deben hacer de la higiene de enrutamiento parte de la selección de proveedores y la presión de peering.

La crítica pública de Cloudflare al punto de amplificación cumplió una función de mercado útil. Nombró la falla de alto apalancamiento. Pero nombrar es solo el comienzo. La reparación verificable requiere evidencia de que las políticas de tránsito cambiaron, de que se rechazan las rutas inválidas o no autorizadas, de que se mantienen los conjuntos de rutas de los clientes y de que las fugas de rutas desencadenan una contención rápida. Parte de esa evidencia puede provenir de compromisos públicos; parte de mediciones; parte de requisitos contractuales; parte de la ausencia de futuros incidentes combinada con auditoría.

Los proveedores afectados también tienen apalancamiento. Una gran red perimetral puede elegir relaciones de tránsito, establecer preferencias de peering, publicar requisitos de seguridad de enrutamiento y educar a los clientes sobre la higiene del proveedor. No puede obligar a todas las redes de Internet a validar, pero puede cambiar los incentivos en torno a su propia interconexión. Si un proveedor vende seguridad y confiabilidad, la adquisición de seguridad de enrutamiento es parte del producto, no simplemente el trabajo de fondo del equipo de red.

La lección de política más amplia es que el filtrado ascendente debe tratarse como un deber asociado al alcance. Cuanto más alcance global vende una red, más daño público puede crear al aceptar rutas incorrectas. Ese deber debe ser visible en las normas, los contratos, las auditorías y los informes posteriores a incidentes.

La continuidad del cliente tiene límites ante fallos de enrutamiento

Los clientes a menudo preguntan qué podrían haber hecho de manera diferente después de una interrupción del proveedor. En una fuga de rutas que afecta a un importante proveedor perimetral, la respuesta puede ser incómoda: no mucho en tiempo real, a menos que el cliente tuviera rutas de entrega independientes preconstruidas. Si el Internet público enruta el tráfico lejos de las rutas legítimas del proveedor, el origen de un cliente puede estar en buen estado y aún así no ser accesible a través del perímetro esperado.

La conmutación por error de DNS puede ayudar en algunas arquitecturas, pero puede verse limitada por el almacenamiento en caché, la configuración de certificados, la capacidad de origen y la preparación del proveedor alternativo.

Eso no significa que los clientes sean impotentes. Pueden clasificar los servicios críticos, mantener páginas de estado alternativas, usar múltiples CDN o conmutación por error de origen directo para cargas de trabajo seleccionadas, monitorear desde redes diversas y evitar colocar todos los canales de comunicación pública detrás del mismo proveedor. Pero esas medidas requieren planificación. Durante una fuga de rutas, la improvisación rara vez es suficiente.

La responsabilidad de Cloudflare ante los clientes es, por lo tanto, en parte explicativa. Debe decir a los clientes qué riesgos puede reducir Cloudflare mediante RPKI, monitoreo de rutas y selección de tránsito, y qué riesgos requieren arquitectura del cliente. Un proveedor que da a entender que puede absorber todos los fallos de enrutamiento de Internet invita a una confianza mal depositada. Un proveedor que explica el riesgo residual ayuda a los clientes a tomar mejores decisiones de continuidad.

Los contratos de los clientes y las evaluaciones de riesgos deben reflejar esto. Un compromiso de nivel de servicio puede no cubrir el impacto operativo total de las fugas de rutas. Los créditos no mantienen un servicio accesible. Los clientes deben preguntar si las cargas de trabajo críticas necesitan diversidad de entrega, si esa diversidad es genuinamente independiente y si los canales de comunicación de emergencia sobreviven a la misma falla de enrutamiento. Las respuestas pueden diferir según la carga de trabajo, pero las preguntas son obligatorias para los servicios de alto impacto.

El incidente de fuga de rutas también muestra que el riesgo de dependencia puede ser invisible hasta que ocurre una falla. Un cliente puede no saber qué relaciones de tránsito o políticas de enrutamiento dan forma a su accesibilidad a través de un proveedor. Por eso importa la transparencia del proveedor. Los clientes no pueden gestionar lo que el proveedor se niega a hacer legible.

La reparación verificable necesita una lista de verificación

Un registro creíble de reparación de fugas de rutas debe tener elementos observables. Primero, un cronograma preciso de la propagación, detección, mitigación y recuperación de rutas. Segundo, un mapa de roles que identifique el origen, el amplificador, los prefijos afectados y las redes validadoras cuando se conozcan. Tercero, evidencia de origen de ruta: ROAs, elecciones de maxLength y postura de validación. Cuarto, evidencia de filtrado: controles de conjuntos de rutas de clientes, rechazo de rutas inválidas y métodos de prevención de fugas de rutas.

Quinto, evidencia de coordinación: contactos, escalamiento y comunicación con las redes responsables. Sexto, orientación al cliente sobre el riesgo residual y posibles diseños de continuidad.

Una lista de verificación de este tipo habría hecho del evento de junio de 2019 algo más que una narrativa. Cloudflare proporcionó una explicación pública sustancial y defensa. El siguiente paso en responsabilidad es conectar cada afirmación con un artefacto duradero. Si RPKI es parte de la respuesta, muestre la adopción. Si el filtrado ascendente es parte de la respuesta, indique las expectativas para los proveedores ascendentes. Si los recolectores de rutas públicas respaldan el cronograma, incluya suficientes datos para inspeccionar. Si los clientes necesitan cambios en la arquitectura, dígalo directamente.

Esta lista de verificación también protege a los proveedores afectados. Cuando el proveedor puede mostrar que publicó ROAs, validó rutas, monitoreó BGP público, seleccionó tránsito responsable y escaló rápidamente, los clientes pueden ver que el riesgo residual provino del ecosistema de enrutamiento más amplio. Sin esa evidencia, los clientes pueden escuchar solo tranquilidad. La evidencia es la defensa más fuerte del proveedor cuando realmente no originó la falla.

La reparación verificable debería poder repetirse en todos los incidentes. La misma estructura puede aplicarse a fugas que afecten a CDNs, proveedores de nube, bancos, portales gubernamentales o repositorios de software. Los detalles difieren, pero los elementos de responsabilidad permanecen: autoridad de ruta, control de propagación, validación, monitoreo, coordinación y continuidad del cliente.

La lista de verificación también debe actualizarse a medida que evoluciona la tecnología. Los roles BGP y los mecanismos Only-to-Customer en la RFC 9234 abordan la prevención de fugas consciente de las relaciones que la validación de origen RPKI por sí sola no puede resolver. Los proveedores no deben congelar su modelo de reparación en los controles disponibles en 2019. Un programa de reparación genuino adopta mejores mecanismos a medida que se vuelven implementables.

La defensa es más fuerte cuando se combina con la adquisición

Cloudflare ha utilizado a menudo su plataforma pública para abogar por una mejor seguridad de enrutamiento. La defensa importa porque la seguridad del enrutamiento es un trabajo de acción colectiva. Pero la defensa se vuelve más fuerte cuando se combina con compromisos de adquisición y operativos. Un proveedor puede escribir sobre RPKI y al mismo tiempo elegir socios, pares y acuerdos de tránsito que reflejen los mismos valores. Puede pedir a los clientes que se preocupen mientras muestra que él mismo se preocupa en sus propias compras de red.

Esta combinación importa porque la adopción de la seguridad de enrutamiento puede sufrir de dinámicas de aprovechamiento gratuito. Si las redes responsables validan pero las irresponsables aún propagan rutas incorrectas, todos permanecen expuestos. Los grandes proveedores pueden cambiar los incentivos haciendo de la higiene de enrutamiento parte de las relaciones comerciales. Un proveedor de tránsito que corre el riesgo de perder clientes importantes por un filtrado débil tiene una razón más fuerte para mejorar. Un par que no puede mantener objetos de ruta enfrenta un mayor escrutinio.

Una red que rechaza rutas inválidas puede anunciar esa madurez.

Los clientes pueden reforzar el mismo incentivo. Pueden preguntar a los proveedores perimetrales qué proveedores de tránsito utilizan, si validan RPKI, si mantienen controles similares a MANRS y cómo responden a las fugas. No todos los detalles serán públicos, pero la presión repetida de los compradores cambia la conversación. La seguridad del enrutamiento debería convertirse en parte de la adquisición de confiabilidad, no en un tema especializado de ingeniería de redes.

La posición de proveedor afectado de Cloudflare le da credibilidad para impulsar esta agenda. Experimentó el daño y pudo explicarlo a una amplia audiencia. El estándar de responsabilidad es seguir convirtiendo esa credibilidad en una presión medible sobre el ecosistema. Una entrada de blog persuasiva es útil; un mercado de enrutamiento cambiado es mejor.

El mismo principio se aplica a todo proveedor que vende accesibilidad segura. Si la promesa del producto incluye mantener a los clientes en línea y protegidos, entonces la adquisición de seguridad de enrutamiento es trabajo del producto. La frontera entre las operaciones de red y la confianza del cliente es artificial durante una interrupción.

Las fugas de rutas exponen los límites de la redundancia perimetral

Cloudflare opera una gran red perimetral global, pero el incidente de fuga de rutas mostró que la redundancia física y de software no elimina la dependencia del enrutamiento entre dominios. Un proveedor puede tener muchos centros de datos, muchos servidores y una gestión de tráfico sofisticada, y aún así verse afectado cuando Internet cree una ruta incorrecta. La redundancia dentro de la infraestructura del proveedor es necesaria, pero no es lo mismo que la independencia de enrutamiento. La ruta pública hacia el perímetro es parte del servicio.

Esto es importante para las expectativas del cliente. Los clientes a menudo compran servicios perimetrales porque asumen que la escala crea inmunidad. La escala crea capacidad y muchas opciones de recuperación, pero también crea más relaciones de interconexión y más exposición a las decisiones de enrutamiento de otros. Si un proveedor de tránsito importante propaga rutas incorrectas, un perímetro global puede volverse globalmente inalcanzable de maneras específicas. Los clientes deben comprender que la resiliencia interna del proveedor y la higiene de enrutamiento externo de Internet son capas diferentes.

La comunicación pública de Cloudflare puede reducir esta brecha de expectativas al distinguir la resiliencia del servicio del riesgo del ecosistema de enrutamiento. Un análisis post mortem debe decir qué partes estaban bajo el control de Cloudflare, cuáles estaban fuera de él y qué mitigaciones tienden un puente en la frontera. La publicación de RPKI es un puente. El rechazo de rutas inválidas es otro. La selección de tránsito y la política de peering son otro. El monitoreo público de BGP es otro. La entrega de múltiples proveedores del lado del cliente puede ser otro para cargas de trabajo de alta criticidad.

Sin esta explicación en capas, los clientes pueden confiar demasiado en el proveedor o culparlo erróneamente por cada falla de enrutamiento externo.

La lección de redundancia perimetral también afecta a los simulacros de incidentes. Los proveedores no solo deben probar la pérdida del centro de datos y las regresiones de software, sino también escenarios de secuestro de rutas, fuga de rutas, aceptación de orígenes inválidos y mal comportamiento del proveedor de tránsito. Estos simulacros deben incluir la comunicación con el cliente porque los incidentes de enrutamiento son confusos para los equipos no especializados en redes.

Un cliente que ve errores intermitentes desde algunas regiones puede no saber si el problema es la salud del origen, DNS, software CDN, filtrado ISP o propagación de rutas. La capacidad del proveedor para explicar la capa rápidamente es parte de la resiliencia.

Por lo tanto, la mejor evidencia de reparación incluye la cobertura de escenarios. ¿Probó el proveedor la detección de fugas de rutas? ¿Ensayó el escalamiento de tránsito? ¿Verificó la precisión de los ROA? ¿Monitoreó en busca de rutas AS sospechosas? ¿Tenía un lenguaje orientado al cliente preparado para incidentes de enrutamiento? Estas preguntas convierten el enrutamiento de un dominio solo para expertos en una obligación de servicio responsable.

Las rutas falsas crean deuda de confianza

Una fuga de rutas es un evento de deuda de confianza. Revela que las redes aceptaron una ruta que no deberían haber aceptado, o propagaron una ruta a través de una relación donde no debería haber viajado. La deuda la pagan los proveedores afectados y los usuarios durante la interrupción, pero permanece después si las suposiciones de confianza subyacentes no se corrigen. La tranquilidad puede calmar el momento. La reparación paga la deuda.

La deuda de confianza es acumulativa. Cada fuga de rutas pública enseña a los clientes que la accesibilidad a Internet depende de controles que no pueden ver. Si la respuesta es solo narrativa, la confianza se debilita porque el próximo incidente parece inevitable. Si la respuesta produce mejoras medibles, la confianza puede recuperarse porque el sistema se vuelve más inspeccionable. La adopción de RPKI, los compromisos de filtrado de rutas y el monitoreo público de rutas no son meramente higiene técnica; son herramientas de reconstrucción de la confianza.

El rol de Cloudflare es complicado porque es tanto una víctima de fallas de confianza en el enrutamiento como un vendedor de servicios de confianza en Internet. Ese doble rol eleva el estándar. Los clientes esperan que la empresa no solo se recupere, sino que explique la debilidad de Internet y defienda soluciones creíbles. Cuando Cloudflare publica explicaciones sobre seguridad de enrutamiento, está convirtiendo su propio incidente en educación pública. El siguiente paso es mostrar qué partes de esa educación se operacionalizan en su red y relaciones comerciales.

La deuda de confianza también pertenece a las redes amplificadoras. Un proveedor de tránsito que acepta y propaga rutas incorrectas daña la confianza más allá de sus clientes directos. La deuda debería seguirlo en futuras conversaciones de adquisición y peering. ¿Cambió los filtros? ¿Validó más rutas? ¿Se unió o cumplió con las normas de seguridad de enrutamiento? ¿Informó con transparencia? Si no, el mercado tiene pocas razones para creer que el mismo comportamiento no se repetirá.

Para los clientes, la deuda de confianza debería aparecer en los registros de riesgos. Si un servicio crítico depende de un proveedor expuesto a incidentes de enrutamiento global, el riesgo debe nombrar el modo de falla y los controles. No debe ocultarse bajo un lenguaje genérico de interrupción de Internet. La especificidad es lo que permite medir la reparación.

La longitud máxima es una decisión de gobernanza

La reparación RPKI depende no solo de crear ROAs, sino de crearlos cuidadosamente. Un ROA autoriza un AS de origen y puede establecer una longitud máxima de prefijo. Esa longitud máxima importa. Si es demasiado amplia, puede autorizar anuncios más específicos que debilitan la protección. Si es demasiado estrecha, la ingeniería de tráfico legítima o la desagregación de emergencia pueden volverse inválidas. Por lo tanto, la evidencia de origen de ruta requiere gobernanza, no solo una publicación de casilla de verificación.

Para un proveedor perimetral global, las decisiones de maxLength deben estar vinculadas a la práctica de enrutamiento documentada. ¿Qué prefijos se anuncian normalmente? ¿Qué más específicos se utilizan para la ingeniería de tráfico? ¿Cuáles podrían usarse en una emergencia? ¿Cuáles nunca deberían aparecer? ¿Quién aprueba los cambios? ¿Cómo se prueban los ROAs antes de la publicación? ¿Con qué rapidez se pueden corregir los errores? Estas son preguntas operativas con consecuencias para el cliente.

La discusión sobre la fuga de rutas de junio de 2019 hace esto concreto porque las fugas y secuestros de rutas a menudo explotan la preferencia de rutas más específicas o errores de propagación. RPKI puede hacer que algunos orígenes falsos sean inválidos, pero también puede crear una falsa sensación de seguridad si los ROAs son demasiado permisivos. Por lo tanto, la reparación verificable debe incluir evidencia de que la autoridad de ruta es precisa y se mantiene. Un registro ROA obsoleto o descuidado no es reparación. Es una nueva fuente de riesgo.

Los clientes no necesitan inspeccionar cada línea de cada ROA, pero los clientes sofisticados y los observadores públicos deberían poder ver que un proveedor tiene una postura RPKI disciplinada. Las herramientas públicas pueden verificar la existencia y validez. Las declaraciones del proveedor pueden explicar la política. Los informes de incidentes pueden describir si la validación de origen de ruta ayudó o habría ayudado. Aquí es donde los artefactos técnicos se convierten en artefactos de gobernanza.

La autoridad de ruta también se cruza con la incorporación de clientes. Si una CDN o un proveedor perimetral anuncia prefijos propiedad del cliente o admite acuerdos de "traiga su propia IP", la coordinación de ROA se convierte en parte del riesgo del cliente. El proveedor y el cliente deben alinear la autorización de origen, maxLength y los procedimientos de emergencia. Un desajuste puede crear rutas inválidas o debilitar la protección. La reparación verificable debería cubrir estos casos de cliente-perímetro, no solo los prefijos propiedad del proveedor.

Las fugas de relación necesitan evidencia de relación

La validación de origen RPKI responde a una pregunta específica: ¿está este AS de origen autorizado para este prefijo? Las fugas de rutas a menudo plantean una pregunta diferente: ¿debería esta ruta haber pasado de una relación a otra? Una ruta puede ser válida en origen y aun así estar filtrada. Por eso importan los controles conscientes de la relación, como el filtrado de rutas, los roles BGP y los mecanismos Only-to-Customer. La reparación verificable debe abordar la capa de relación.

En el evento de junio de 2019, el patrón dañino implicó la propagación a través de redes donde la ruta no debería haberse extendido a esa escala. Las políticas privadas exactas no son completamente visibles para los clientes, por lo que la evidencia de reparación pública debe describir la clase de control. ¿Exigió el proveedor filtros de prefijos específicos del cliente? ¿Clasificó los roles de los vecinos? ¿Limitó la propagación de rutas según la relación comercial? ¿Mantuvo datos precisos de IRR y RPKI? ¿Monitoreó en busca de anomalías de ruta inconsistentes con las relaciones normales?

La RFC 9234 es importante porque representa un intento en la vía de estándares para codificar roles de relación en la prevención de fugas BGP. Es posterior al incidente, por lo que no debe usarse para juzgar el comportamiento de 2019 mediante un mecanismo futuro. Debe usarse para elevar el estándar de reparación actual. Los proveedores no deben detenerse en los controles que eran comunes cuando ocurrió el incidente. Deben preguntar qué mecanismos más nuevos pueden reducir la misma clase de riesgo ahora.

La evidencia de relación es más difícil de publicar que la evidencia de origen porque las relaciones comerciales pueden ser sensibles. Aun así, los proveedores pueden divulgar compromisos de política sin exponer cada término privado. Pueden afirmar que las rutas de los clientes se filtran según los prefijos esperados, que se rechazan las rutas RPKI inválidas, que las relaciones de pares y clientes están clasificadas, que las fugas de rutas activan alarmas y que los proveedores de tránsito son evaluados por su higiene de enrutamiento. También pueden apoyar las normas de la industria que hacen que tales declaraciones sean comparables.

El valor para el cliente es la claridad. Si un proveedor dice que tiene RPKI pero no dice nada sobre las fugas de rutas, los clientes pueden sobrestimar la protección. Si distingue la validación de origen del filtrado de relación, los clientes reciben una imagen de riesgo más honesta. Las imágenes de riesgo honestas son parte de la reparación.

El lenguaje de los incidentes debe evitar aplanar la causalidad

Los incidentes de enrutamiento son técnicamente densos, y los incidentes densos son fáciles de aplanar. Una empresa puede decir que ocurrió una fuga de rutas, que un proveedor ascendente la causó, que los servicios se vieron afectados y que la remediación está en marcha. Ese lenguaje puede ser cierto pero insuficiente. El lenguaje aplanado oculta quién tenía qué control, qué controles fallaron y qué controles cambiaron. Una cultura de reparación verificable utiliza una causalidad precisa.

Una causalidad precisa separaría la fuente de la fuga, el optimizador o mecanismo de automatización, la red amplificadora, los prefijos afectados, los receptores validadores o no validadores, la ruta de detección y los síntomas visibles para el cliente. También indicaría la incertidumbre donde la evidencia pública es incompleta. Esto ayuda a los clientes a confiar en el informe porque no pretende que se conozca cada detalle privado. También evita que el proveedor afectado utilice una falla ascendente como explicación general para todo el impacto en el cliente.

El análisis de incidentes de Cloudflare fue más sólido que una declaración genérica porque nombró el comportamiento de enrutamiento y explicó por qué importaba el filtrado ascendente. El estándar más amplio debería ser que cada incidente de enrutamiento importante incluya suficiente estructura causal para que los clientes actualicen los controles. Un equipo de seguridad debería poder preguntar: ¿habría ayudado RPKI? ¿habría ayudado la prevención de fugas de rutas? ¿habría ayudado la entrega de múltiples proveedores? ¿monitoreó nuestro proveedor rápidamente? ¿sobrevivieron nuestras propias comunicaciones de estado?

El lenguaje también afecta los incentivos públicos. Si los informes describen los incidentes de enrutamiento como rarezas inevitables de Internet, los operadores tienen menos presión para mejorar. Si los informes describen los filtros faltantes exactos o las fallas de validación, las redes responsables enfrentan escrutinio. El punto no es la vergüenza pública por sí misma. Es hacer que los modos de falla sean lo suficientemente específicos como para que el mercado pueda recompensar la reparación.

La precisión debe extenderse a las afirmaciones de recuperación. Un proveedor debe distinguir el retiro de ruta, la convergencia de propagación de ruta, la recuperación del servicio, la recuperación visible para el cliente y el monitoreo posterior al incidente. Estos hitos pueden diferir. Una ruta puede corregirse antes de que los cachés, las sesiones o los monitores del cliente vuelvan a la normalidad. Los clientes necesitan ese matiz para sus propios informes.

Tipografía

La tipografía es el arte y la técnica de organizar los tipos para que el lenguaje escrito sea legible, comprensible y visualmente atractivo. Implica la selección de tipos de letra, tamaños de punto, longitudes de línea, interlineado y espaciado entre letras.

  • La tipografía se originó con la invención de los tipos móviles por Johannes Gutenberg en el siglo XV.
  • Los elementos clave incluyen la selección de fuentes, el kerning, el tracking y el interlineado.
  • Una buena tipografía mejora la legibilidad y transmite el estado de ánimo o tono en el diseño.

El estándar de reparación es la prueba pública

La respuesta de Cloudflare a la fuga de rutas de junio de 2019 es valiosa porque hizo comprensible una falla de enrutamiento invisible para una amplia audiencia. Pero el estándar de responsabilidad del artículo es más alto que la explicación. El proveedor afectado, el proveedor de tránsito amplificador y la comunidad de enrutamiento en general deben dejar pruebas públicas de que la debilidad se ha reducido. La prueba puede ser parcial. Puede ser técnica. Puede distribuirse entre repositorios RPKI, recolectores de rutas, compromisos MANRS, políticas de proveedores e informes de incidentes. Pero debe ser más que confianza.

Cloudflare controlaba partes importantes de esa prueba: su propia autoridad de ruta, monitoreo, educación pública, postura de validación, orientación al cliente y presión comercial. Verizon y la red que filtró controlaban otras partes: filtrado, disciplina de políticas de enrutamiento y propagación. Los clientes solo controlaban opciones de continuidad preconstruidas y presión de adquisición. Ese mapa de control explica por qué la tranquilidad por sí sola es insuficiente. Cada actor debe mostrar reparación en el punto que controla.

La lección duradera es que la accesibilidad a Internet no es una confianza que se ejecuta por sí sola. Es un conjunto de promesas operativas intercambiadas a través de BGP, DNS, registros, contratos y relaciones de peering. Cuando esas promesas fallan, la respuesta debe ser inspeccionable. Una fuga de rutas que interrumpe a un proveedor perimetral global debería producir un mejor registro público de quién puede originar, quién puede propagar, quién valida, quién monitorea y quién puede recuperarse.

La mejor contribución de Cloudflare después de la fuga no fue simplemente decir que otra red causó el problema. Fue hacer visible el problema de seguridad de enrutamiento. El siguiente paso para cada proveedor es hacer visible la reparación también. Los clientes no deberían tener que elegir entre creer en una marca y entender una ruta. Deberían poder ver la evidencia de que la tranquilidad se convirtió en un enrutamiento más seguro.