Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Border Gateway Protocol (BGP): Una guía centrada en la seguridad
Cybersecurity 101/Ciberseguridad/Border Gateway Protocol

Border Gateway Protocol (BGP): Una guía centrada en la seguridad

Border Gateway Protocol controla por qué redes atraviesa su tráfico antes de llegar a los controles de seguridad. Conozca las mejores prácticas de seguridad en BGP y la implementación de RPKI.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es el Border Gateway Protocol?
Cómo se relaciona Border Gateway Protocol con la ciberseguridad
BGP Interno vs Externo (iBGP vs eBGP)
Componentes principales de Border Gateway Protocol
Cómo funciona Border Gateway Protocol
Técnicas de ataque comunes que explotan BGP
Beneficios clave de Border Gateway Protocol
Desafíos y limitaciones de Border Gateway Protocol
Errores comunes en Border Gateway Protocol
Mejores prácticas para Border Gateway Protocol
Ejemplos reales de incidentes BGP
Puntos clave

Entradas relacionadas

  • ¿Qué es la fijación de sesión? Cómo los atacantes secuestran sesiones de usuario
  • Hacker Ético: Métodos, Herramientas y Guía de Carrera
  • ¿Qué son los ataques adversarios? Amenazas y defensas
  • Ciberseguridad en el sector gubernamental: riesgos, mejores prácticas y marcos normativos
Autor: SentinelOne
Actualizado: January 21, 2026

¿Qué es el Border Gateway Protocol?

BGP controla por qué redes atraviesa tu tráfico antes de llegar a tus controles de seguridad, y los atacantes explotan esta capa de enrutamiento para interceptar tus datos antes de que tu firewall o la detección de endpoints los vean. NIST SP 800-189 define BGP como el protocolo de enrutamiento que permite a diferentes sistemas autónomos intercambiar información de enrutamiento y determinar rutas óptimas para el tráfico de Internet. Un atacante robó aproximadamente $235,000 en criptomonedas el 17 de agosto de 2022 empleando un secuestro BGP dirigido contra Celer Bridge, redirigiendo el tráfico a servidores controlados por el atacante durante aproximadamente tres horas.

CISA llama a BGP "la parte más importante de Internet de la que probablemente nunca has oído hablar". Tu firewall protege el perímetro. Tu detección de endpoints detiene el malware. Pero BGP controla por qué redes atraviesa tu tráfico antes de llegar a esos controles de seguridad, una capa fundamental que se sitúa por debajo de la mayoría de las defensas de seguridad empresarial.

Estás operando sobre un protocolo con un modelo de confianza fundamentalmente inseguro. RFC 4272 establece que BGP es esencialmente un protocolo no seguro. El protocolo carece de mecanismos criptográficos para validar si el sistema autónomo que anuncia posee los prefijos IP, si las rutas de enrutamiento son auténticas y si los anuncios fueron alterados en tránsito.

Border Gateway Protocol - Featured Image | SentinelOne

Cómo se relaciona Border Gateway Protocol con la ciberseguridad

El secuestro BGP permite a los atacantes interceptar tu tráfico antes de que tu firewall lo inspeccione, posicionándose entre tus usuarios y tus defensas perimetrales. Monitoreas fallos de autenticación y buscas movimiento lateral, pero el secuestro BGP ocurre en la capa de enrutamiento antes de que tus plataformas SIEM vean el tráfico. Cuando integras el monitoreo BGP en plataformas como Singularity Data Lake, las anomalías de enrutamiento se correlacionan automáticamente con fallos de autenticación e indicadores de exfiltración de datos.

La seguridad BGP es importante porque una vulneración en la capa de enrutamiento elude tus controles de seguridad perimetral empresarial y habilita ataques de intermediario a escala de Internet. CISA advierte que el secuestro BGP expone la información de tu empresa al redirigir el tráfico a través de redes controladas por atacantes y facilita el espionaje a nivel estatal. Comprender cómo los atacantes explotan BGP requiere examinar los componentes arquitectónicos centrales del protocolo.

BGP Interno vs Externo (iBGP vs eBGP)

BGP opera en dos modos distintos con diferentes modelos de confianza e implicaciones de seguridad. BGP Externo (eBGP) gestiona el enrutamiento entre sistemas autónomos, mientras que BGP Interno (iBGP) administra la distribución de rutas dentro de un solo AS. Tu postura de seguridad debe considerar las vulnerabilidades en ambos.

Las sesiones eBGP conectan routers en diferentes sistemas autónomos a través de límites de confianza. Estas sesiones normalmente se ejecutan entre routers en los bordes de la red donde tu organización se conecta con ISPs, proveedores de nube u otras redes. eBGP aplica un TTL de 1 por defecto, lo que significa que los routers pares deben estar directamente conectados. Los atacantes apuntan a sesiones eBGP porque comprometer estas conexiones permite la interceptación de tráfico a escala de Internet.

iBGP distribuye la información de enrutamiento aprendida de pares eBGP a través de tu red interna. iBGP requiere conectividad full mesh entre todos los BGP speakers dentro de un AS, o el uso de route reflectors y confederaciones para escalar. Las sesiones iBGP no modifican el atributo AS path, lo que significa que las rutas aprendidas vía iBGP retienen su AS path original para prevenir bucles.

Las implicaciones de seguridad difieren entre estos modos:

  • Las sesiones eBGP cruzan límites administrativos y requieren políticas de filtrado estrictas
  • iBGP asume un entorno interno confiable, creando riesgo si los atacantes obtienen acceso a la red interna
  • Las malas configuraciones de route reflector pueden propagar rutas incorrectas en todo tu AS
  • El secuestro de sesiones iBGP permite a atacantes con acceso interno manipular decisiones de enrutamiento

Tu estrategia de seguridad de red debe implementar autenticación MD5 en todas las sesiones BGP sin importar el tipo. El MANRS enterprise primer recomienda un filtrado estricto de prefijos en cada punto de emparejamiento eBGP. Para iBGP, segmenta los clusters de route reflectors y monitorea la presencia de BGP speakers no autorizados dentro de tu AS.

Componentes principales de Border Gateway Protocol

Tres elementos arquitectónicos crean las vulnerabilidades que los atacantes explotan en el diseño basado en confianza de BGP: falta de mecanismos de autenticación, confianza implícita entre pares y ausencia de capacidades de validación de rutas.

  • Sistemas Autónomos (AS) representan redes independientes bajo control administrativo. Tu red empresarial, tu ISP, tu proveedor de nube: cada uno opera como un sistema autónomo con un número AS único.
  • Sesiones de emparejamiento BGP establecen conexiones autenticadas entre routers en diferentes sistemas autónomos que intercambian información de enrutamiento. Estas conexiones se organizan en relaciones proveedor-cliente, peer-to-peer y cliente-proveedor, cada una con implicaciones de seguridad distintas.
  • Anuncios de rutas publicitan prefijos de direcciones IP a redes pares. Cuando tu AS anuncia "Tengo la mejor ruta para llegar a 203.0.113.0/24", las redes vecinas actualizan sus tablas de enrutamiento en consecuencia. RFC 4272 confirma que el protocolo asume que los pares son confiables, sin mecanismos para validar la información de enrutamiento. Cuando tú o tus pares envían anuncios de rutas sintácticamente válidos, BGP los propaga por todo Internet, independientemente de si esos anuncios son legítimos o maliciosos.

Comprender estas vulnerabilidades arquitectónicas explica cómo los atacantes explotan el proceso de selección de rutas de BGP para secuestrar tu tráfico.

Cómo funciona Border Gateway Protocol

Cuando los atacantes anuncian tu prefijo 203.0.113.0/24 de forma más específica que tu anuncio legítimo 203.0.113.0/20, los routers de todo el mundo prefieren la ruta del atacante. Esto ocurre porque la selección de rutas BGP sigue un algoritmo que prioriza la especificidad sobre la autorización, una técnica llamada secuestro por coincidencia de prefijo más largo.

La protección de autorización de rutas solo funciona cuando las redes downstream validan las rutas. Si tu proveedor upstream no implementa la Validación de Origen de Ruta, los atacantes aún pueden secuestrar tu tráfico incluso cuando has publicado ROAs válidos.

BGP evalúa rutas usando criterios como preferencia local, longitud del AS path, tipo de origen y multi-exit discriminator. Los atacantes pueden manipular estos parámetros para secuestrar tráfico. NIST SP 800-189 Rev. 1 confirma que los diseñadores crearon BGP sin mecanismos de autenticación criptográfica integrados.

Técnicas de ataque comunes que explotan BGP

Los atacantes explotan la arquitectura basada en confianza de BGP mediante varias técnicas establecidas que tu equipo de seguridad debe reconocer y defender. El secuestro de servidores raíz DNS de junio de 2025 que afectó a ocho servidores simultáneamente demuestra que estos métodos siguen siendo efectivos incluso contra infraestructuras críticas.

  • Secuestro de prefijos ocurre cuando un atacante anuncia prefijos IP pertenecientes a otra organización. El AS del atacante origina rutas para un espacio de direcciones que no posee, y las redes que no realizan validación de rutas aceptan estos anuncios. El tráfico destinado al propietario legítimo fluye hacia el atacante en su lugar. Esta técnica permite el robo de credenciales, la interceptación de datos y el robo de criptomonedas.
  • Secuestro de subprefijos representa una variante más dirigida. Los atacantes anuncian prefijos más específicos que el propietario legítimo. Si tu organización anuncia 192.0.2.0/23, un atacante que anuncia 192.0.2.0/24 gana la selección de ruta porque BGP prefiere coincidencias de prefijo más largas. El informe de los operadores de servidores raíz confirma que los atacantes explotan consistentemente este comportamiento de coincidencia de prefijo más largo.
  • Manipulación del AS path permite a los atacantes influir en la selección de rutas acortando artificialmente o modificando el atributo AS path. BGP prefiere rutas más cortas, por lo que los atacantes pueden anteponer menos ASNs para hacer sus rutas maliciosas más atractivas. Algunos atacantes insertan ASNs legítimos en rutas falsas para evadir la detección.
  • Secuestro de sesiones BGP apunta a las sesiones TCP subyacentes a las relaciones de emparejamiento BGP. Los atacantes que pueden inyectar paquetes en la sesión pueden restablecer conexiones, inyectar rutas falsas o causar inestabilidad en el enrutamiento. La predicción de números de secuencia TCP y la posición de intermediario permiten estos ataques.
  • Fugas de rutas resultan de una mala configuración más que de intención maliciosa pero generan impactos de seguridad similares. Una red propaga incorrectamente rutas aprendidas de un par a otros pares, violando las políticas de enrutamiento esperadas. El análisis de incidentes de MANRS documenta cómo estas malas configuraciones afectaron a Time Warner Cable, Rogers y Charter.

Defenderse contra estas técnicas requiere controles en capas que incluyan el despliegue de RPKI, filtrado estricto de prefijos, autenticación de sesiones BGP y monitoreo continuo de anomalías de enrutamiento.

Beneficios clave de Border Gateway Protocol

BGP proporciona enrutamiento a escala de Internet mediante la coordinación con redes independientes. RFC 4271 explica cómo los sistemas autónomos intercambian información de enrutamiento y determinan las mejores rutas para el tráfico de Internet en función de las relaciones entre redes.

La redundancia de rutas se logra mediante múltiples fuentes de anuncios y selección de rutas distribuida. Cuando tu conexión principal con el ISP falla, BGP converge hacia rutas de respaldo a través de proveedores secundarios según métricas de ruta y políticas locales.

La ingeniería de tráfico granular mediante enrutamiento basado en políticas te da control sobre ambas direcciones del flujo de tráfico. Ajusta el AS path prepending para influir en el tráfico entrante, configura preferencias locales para el tráfico saliente e implementa políticas de filtrado para evitar que el tráfico pase por redes potencialmente hostiles. Estas capacidades de enrutamiento conllevan importantes compensaciones de seguridad que requieren una gestión cuidadosa.

Desafíos y limitaciones de Border Gateway Protocol

La brecha fundamental de autenticación de BGP impide la verificación criptográfica de que el AS que anuncia rutas a tu espacio IP realmente posee esas direcciones. Esta brecha habilita cada ataque de secuestro que debes defender. NIST SP 800-189r1 muestra el problema: los routers BGP aceptan anuncios de rutas sin verificación criptográfica de autenticidad de origen, validación de ruta o integridad del anuncio.

La frecuencia de incidentes sigue acelerándose a pesar de una mayor concienciación. El análisis de seguridad de enrutamiento de Internet2 documentó tres incidentes significativos de seguridad de enrutamiento que afectaron a redes de investigación y educación solo en 2024, demostrando que las vulnerabilidades de BGP continúan interrumpiendo infraestructuras críticas.

El riesgo sistémico crea dependencias más allá del control de cualquier organización individual. El análisis de políticas de Internet Society advierte que la naturaleza descentralizada e interconectada de BGP introduce vulnerabilidades que los actores maliciosos pueden explotar. La seguridad del enrutamiento depende de miles de otras redes a nivel global, creando una dependencia similar a la de la cadena de suministro donde una sola mala configuración BGP se propaga internacionalmente. Estas vulnerabilidades sistémicas se manifiestan en fallos operativos específicos que los equipos de seguridad deben reconocer y prevenir.

Errores comunes en Border Gateway Protocol

Muchas organizaciones despliegan infraestructura de validación RPKI pero nunca avanzan más allá del monitoreo hacia la aplicación. El panel de monitoreo muestra un prefijo anunciado desde un AS no autorizado. El validador RPKI lo marca como inválido. Pero el modo solo monitoreo, configurado hace meses, nunca pasó a la aplicación. El tráfico es secuestrado mientras el panel muestra el problema. NRO RPKI Best Practices requiere crear ROAs que coincidan exactamente con lo que estás anunciando en BGP y nada más.

El despliegue incompleto de RPKI genera fallos de varias formas:

  • Crear ROAs para prefijos planeados pero no anunciados
  • Establecer valores de longitud máxima demasiado permisivos
  • Olvidar actualizar los ROAs cuando cambian los anuncios BGP

Estas malas configuraciones de ROA dejan los prefijos vulnerables incluso cuando existe infraestructura de validación. La investigación del NDSS Symposium identifica desafíos sistemáticos que impiden a los operadores pasar de la validación pasiva a la aplicación activa.

Políticas de filtrado inadecuadas permiten la propagación de ataques. El análisis del ecosistema MANRS de CAIDA encontró que anuncios BGP inválidos por RPKI y de longitud de prefijo inválida se propagan por las redes a pesar de los compromisos de seguridad documentados. Las brechas comunes incluyen aceptar prefijos más largos que /24 para IPv4, filtros bogon no sincronizados con las asignaciones actuales de los RIR y ausencia de comprobaciones de cordura en el AS-path. Estas brechas de filtrado crean vulnerabilidades en cascada en toda la infraestructura de enrutamiento.

El monitoreo insuficiente deja los incidentes sin detectar hasta después de que ocurre el daño. Sin alertas sobre cambios en el AS de origen de prefijos, nuevos anuncios más específicos que se superponen al espacio de direcciones y transiciones de estado de validación RPKI, los cambios de enrutamiento permanecen invisibles. Los procesos adecuados de  respuesta a incidentes que integran telemetría BGP en tu plataforma de seguridad son esenciales. Evitar estos errores requiere implementar las mejores prácticas documentadas para la seguridad BGP.

Mejores prácticas para Border Gateway Protocol

El despliegue de Resource Public Key Infrastructure debe seguir NIST SP 800-189 Revisión 1. Crea Route Origin Authorizations para cada prefijo IP que tu organización origine en BGP y despliega al menos dos validadores RPKI para redundancia.

La Validación de Origen de Ruta funciona mejor cuando se implementa en fases siguiendo las mejores prácticas de NRO:

  • Modo de monitoreo (30-60 días): Observa los resultados de validación RPKI sin afectar el enrutamiento
  • Ajuste de preferencia (60-90 días): Reduce la preferencia local para rutas inválidas por RPKI
  • Aplicación total (90+ días): Descarta completamente los anuncios inválidos

El filtrado estricto de prefijos en todos los puntos de emparejamiento previene los vectores de ataque comunes. Los límites de longitud máxima de prefijo detienen ataques de secuestro de rutas más específicas, los filtros bogon sincronizados bloquean espacios de direcciones inválidos y el filtrado de AS-path previene longitudes de ruta poco realistas o la fuga de ASN privados.

Las políticas de route-map deben codificar claramente los tipos de relación. Etiqueta todas las rutas BGP con comunidades que indiquen origen de proveedor, par o cliente.

La integración del monitoreo BGP con tu plataforma de seguridad habilita flujos de trabajo de  threat hunting para anomalías de enrutamiento. Configura alertas para cambios de estado de sesión de pares, modificaciones en el AS de origen de prefijos y transiciones de estado de validación RPKI.

La validación de configuración de ROA debe ser continua usando herramientas recomendadas por los Registros Regionales de Internet. Los procesos de control de cambios aseguran que las actualizaciones de ROA precedan a las modificaciones de anuncios BGP cuando sea posible. Documenta y prueba procedimientos de respuesta para la detección de rutas inválidas y establece planes de respuesta a incidentes para escenarios de secuestro BGP. Estas mejores prácticas preparan a tu organización para integrar la seguridad de enrutamiento en operaciones de seguridad unificadas.

Ejemplos reales de incidentes BGP

Las fallas de seguridad BGP han causado daños significativos en el mundo real en infraestructuras críticas, servicios financieros y operaciones gubernamentales. Estos incidentes demuestran por qué la seguridad de enrutamiento requiere la misma atención que la protección de endpoints y redes.

  • El secuestro de servidores raíz DNS de junio de 2025 representa el incidente más grave reciente. Según el informe de incidentes de los operadores de servidores raíz, ocho servidores raíz DNS (a, b, c, f, g, h, j y m.root-servers.net) experimentaron secuestro BGP simultáneo entre las 19:40 y las 21:10 UTC. Tres prefijos secuestrados tenían ROAs válidos publicados en RPKI, pero el ataque tuvo éxito porque las redes downstream no implementaron la Validación de Origen de Ruta.
  • El secuestro masivo de Rostelecom en abril de 2020 afectó a más de 8,000 rutas a nivel global. El análisis de incidentes de MANRS confirma que AS12389 anunció rutas más específicas que impactaron a más de 200 proveedores CDN y de nube, incluidos Cloudflare y Akamai. El análisis atribuyó esto a una mala configuración de un optimizador BGP más que a intención maliciosa.
  • El incidente de Telstra en septiembre de 2020 vio a AS1221 anunciar casi 500 prefijos en un evento de secuestro masivo. La documentación de MANRS muestra que el incidente afectó a 266 sistemas autónomos en 50 países, demostrando cómo una sola mala configuración se propaga globalmente.
  • El ataque a Celer Bridge en agosto de 2022 apuntó a usuarios de criptomonedas. Los atacantes robaron $235,000 en criptomonedas redirigiendo el tráfico a través de servidores controlados por el atacante durante aproximadamente tres horas.

Estos incidentes comparten características comunes: explotaron el modelo de confianza de BGP, afectaron a organizaciones que habían implementado algunas medidas de seguridad y causaron daños antes de que los defensores pudieran responder. El patrón refuerza por qué la detección proactiva de amenazas y el monitoreo continuo de BGP son componentes esenciales de la seguridad empresarial.

Ciberseguridad basada en IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

Estás defendiendo contra ataques en la capa de enrutamiento con una infraestructura que no controlas completamente. Tu seguridad BGP depende de que miles de redes implementen controles de validación. Comienza con lo que puedes controlar: despliega RPKI/ROV en modo de aplicación, filtra prefijos estrictamente en cada punto de emparejamiento e integra el monitoreo BGP en los flujos de trabajo de tu SOC. La brecha entre la implementación individual y la aplicación colectiva es donde operan los atacantes.

Preguntas frecuentes sobre Border Gateway Protocol (BGP)

El secuestro de BGP ocurre cuando un atacante anuncia prefijos de direcciones IP que no le pertenecen, lo que provoca que el tráfico de Internet se enrute a través de su red en lugar del destino legítimo. 

Según CISA, estos ataques pueden exponer información empresarial, permitir el robo y la extorsión, y facilitar el espionaje a nivel estatal. Esta técnica permite la interceptación de tráfico, el robo de credenciales, la exfiltración de datos y ataques de denegación de servicio a escala de Internet.

BGP controla el enrutamiento del tráfico antes de que los paquetes lleguen a sus firewalls, detección en endpoints u otros controles de seguridad. Cuando los atacantes secuestran rutas BGP, se posicionan entre sus usuarios y sus defensas, permitiendo ataques de intermediario que eluden completamente la seguridad perimetral. 

La seguridad del enrutamiento representa una capa fundamental que la mayoría de los entornos de seguridad empresarial no supervisan.

Las organizaciones detectan la manipulación de BGP mediante la monitorización continua de anuncios de rutas, cambios en el estado de validación de RPKI y modificaciones en el origen de prefijos. 

Implemente validadores RPKI para verificar la legitimidad de las rutas, suscríbase a fuentes públicas de recopiladores de rutas como RIPE RIS o RouteViews, e integre la telemetría de BGP en su plataforma de seguridad. Genere alertas ante cambios inesperados de origen AS y anuncios de prefijos más específicos que se superpongan a su espacio de direcciones.

El secuestro de BGP permite la recolección de credenciales mediante flujos de autenticación redirigidos, exfiltración de datos al interceptar comunicaciones sensibles, robo de criptomonedas a través de cadenas de secuestro de DNS, vigilancia de organizaciones o individuos específicos y la interrupción de servicios mediante el desvío del tráfico a un agujero negro. 

La Internet Society advierte que la naturaleza descentralizada de BGP implica que las rutas secuestradas pueden afectar a cualquier organización cuyo tráfico transite por la ruta comprometida.

RPKI crea certificados criptográficos que vinculan prefijos IP con sistemas autónomos de origen autorizados. Cuando implementa la Validación de Origen de Ruta, sus routers rechazan anuncios BGP donde el AS de origen no coincide con el ROA firmado criptográficamente. 

Un atacante que anuncie sus prefijos desde un AS no autorizado es descartado. Sin embargo, la protección requiere tanto la creación de ROA por parte de los propietarios de los prefijos como la aplicación de ROV por parte de las redes de tránsito. Tener ROA válidos es insuficiente si las redes pares no validan.

El secuestro de BGP implica anunciar deliberadamente prefijos IP no autorizados para interceptar el tráfico. Las fugas de rutas representan una amenaza distinta en la que las redes propagan incorrectamente rutas aprendidas de un par a otros pares. 

Aunque las fugas de rutas suelen deberse a una mala configuración y no a una intención maliciosa, su impacto en la seguridad es funcionalmente equivalente porque el tráfico sigue siendo desviado a través de redes no previstas y potencialmente hostiles.

Sí, pero con dependencias de los proveedores ascendentes. Si utiliza espacio de direcciones asignado por el proveedor, coordine con su ISP para crear ROAs bajo su cuenta RIR. 

Documente por escrito las responsabilidades de gestión de ROA, en particular que eliminar un ROA invalida inmediatamente la autorización a nivel global en minutos. Concéntrese en la monitorización, el filtrado y los controles de validación dentro de su autoridad operativa.

La implementación de RPKI tiene dos partes: publicar Autorizaciones de Origen de Ruta (ROA) para sus prefijos y aplicar la Validación de Origen de Ruta (ROV) en las rutas entrantes. Muchas organizaciones completan el primer paso pero no el segundo. 

Incluso cuando publica ROA válidas, su tráfico sigue siendo vulnerable si las redes de tránsito entre usted y su destino no aplican la validación. Este problema de acción colectiva significa que la seguridad de BGP requiere una implementación coordinada en todo el ecosistema de enrutamiento.

Establezca un enfoque por fases para la monitorización de la seguridad de BGP basado en la guía de NIST SP 800-189 Rev. 1. Comience implementando la validación de origen de ruta en modo solo monitorización para obtener visibilidad de referencia. 

Trate el secuestro de BGP y los cambios inesperados de origen de prefijos como alertas de alta prioridad que requieren investigación inmediata, ya que estos ataques permiten la interceptación man-in-the-middle en la capa de enrutamiento.

Las organizaciones pueden implementar la monitorización de BGP mediante validadores RPKI, recopiladores de rutas y plataformas de seguridad que ingieren telemetría de red. Recursos públicos como RIPE RIS y RouteViews proporcionan visibilidad global del enrutamiento. 

Para entornos empresariales, la integración de datos de monitorización de BGP en su plataforma de seguridad permite la correlación con eventos de endpoint e identidad.

Descubre más sobre Ciberseguridad

¿Qué es la referencia directa insegura a objetos (IDOR)?Ciberseguridad

¿Qué es la referencia directa insegura a objetos (IDOR)?

La referencia directa insegura a objetos (IDOR) es una falla de control de acceso donde la ausencia de verificaciones de propiedad permite a los atacantes recuperar los datos de cualquier usuario al modificar un parámetro en la URL. Descubra cómo detectarla y prevenirla.

Seguir leyendo
Seguridad IT vs. OT: Diferencias clave y mejores prácticasCiberseguridad

Seguridad IT vs. OT: Diferencias clave y mejores prácticas

La seguridad IT vs. OT abarca dos dominios con perfiles de riesgo, mandatos de cumplimiento y prioridades operativas distintas. Conozca las diferencias clave y las mejores prácticas.

Seguir leyendo
¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticasCiberseguridad

¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticas

Las copias de seguridad air gapped mantienen al menos una copia de recuperación fuera del alcance de los atacantes. Descubra cómo funcionan, tipos, ejemplos y mejores prácticas para la recuperación ante ransomware.

Seguir leyendo
¿Qué es la seguridad OT? Definición, desafíos y mejores prácticasCiberseguridad

¿Qué es la seguridad OT? Definición, desafíos y mejores prácticas

La seguridad OT protege los sistemas industriales que ejecutan procesos físicos en infraestructuras críticas. Cubre la segmentación del Modelo Purdue, la convergencia IT/OT y la orientación de NIST.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español