Un atacante redirige el tráfico de internet destinado a la dirección IP de tu dominio a su propio servidor anunciando falsamente la propiedad de tu prefijo IP al sistema de enrutamiento BGP global. Tu dominio aún se resuelve a la IP correcta vía DNS, pero los paquetes nunca llegan allí—se redirigen a otro lugar.
Esto es fundamentalmente diferente de un secuestro DNS. Mientras que el envenenamiento DNS redirige tu nombre de dominio a una IP falsa, el secuestro BGP intercepta tráfico en ruta a la IP legítima. El atacante anuncia una ruta BGP más específica (p. ej., 203.0.113.0/25 en lugar de 203.0.113.0/24) y los routers de puerta de enlace prefieren el prefijo más específico, desviando tu tráfico a su infraestructura.
Por qué importa: Los secuestros BGP son raros pero catastróficos. Eluyen seguridad DNS (DNSSEC no ayuda), certificados TLS (si el atacante puede interceptar la conexión), y la mayoría de defensas comunes. Los incidentes notables incluyen el secuestro de Indosat 2014, las rutas de Verizon/AWS 2017, y el apagón de Facebook/Cloudflare 2021.
La mitigación requiere adopción de RPKI (Infraestructura de Clave Pública de Recursos) en tu ISP y proveedores ascendentes—esencialmente prueba criptográfica de propiedad de IP. La mayoría de operadores más pequeños carecen de esta protección. Si ejecutas infraestructura crítica, exige validación RPKI a tu proveedor de alojamiento.