Esta norma introduce regulaciones adicionales para mejorar la seguridad de los datos enrutados a través de internet y "promover la seguridad nacional exigiendo a los proveedores de banda ancha que informen sobre su progreso en la solución de vulnerabilidades en el Protocolo de Puerta de Enlace Fronteriza (BGP)".
El BGP, diseñado en 1980, sigue siendo ampliamente utilizado hoy en día, pero muestra su antigüedad debido a la falta de características de seguridad intrínsecas que garanticen la confiabilidad de la información utilizada para intercambiar tráfico entre redes gestionadas independientemente.
Apodado el "Protocolo de las Tres Servilletas", el BGP no incluye mecanismos suficientes para verificar la autenticidad de la información de enrutamiento
Apodado el "Protocolo de las Tres Servilletas" porque su diseño original fue esbozado en tres servilletas manchadas de kétchup por un grupo de científicos durante una reunión de la Internet Engineering Task Force (IETF), el BGP no incluye mecanismos suficientes para verificar la autenticidad de la información de enrutamiento.
Analistas de seguridad han expresado preocupación durante años sobre la posibilidad de que "actores malintencionados" falsifiquen información del BGP para secuestrar y redirigir el tráfico, permitiendo a bandas criminales y países, como China, Irán, Corea del Norte y Rusia, obtener información y perturbar los servicios de internet a gran escala.
Qué propone la FCC
La propuesta de la FCC tiene como objetivo abordar estas vulnerabilidades al exigir a los proveedores de servicios de banda ancha que preparen y actualicen planes confidenciales de gestión de riesgos de seguridad del BGP al menos una vez al año.
Estos planes detallarán su progreso y sus estrategias para implementar medidas de seguridad del BGP utilizando la Infraestructura de Clave Pública de Recursos (RPKI), que permite a los registros locales de internet solicitar un certificado digital que enumere los recursos numéricos de internet que poseen, proporcionando una prueba verificable de la tenencia de un recurso registrado por un Registro Regional de Internet (RIR).
Los nueve mayores proveedores de banda ancha deberán presentar estos planes de seguridad del BGP de manera confidencial a la FCC
Los nueve mayores proveedores de banda ancha deberán presentar estos planes de seguridad del BGP de manera confidencial a la FCC y, además, deberán presentar informes trimestrales públicos que permitan a la Comisión medir el progreso en la implementación de medidas de seguridad basadas en RPKI y evaluar la razonabilidad de los planes de BGP. Estos grandes proveedores no tendrán que presentar planes detallados posteriores si cumplen con un umbral de seguridad establecido por la FCC.
Por otro lado, los proveedores de banda ancha más pequeños no estarán obligados a presentar sus planes a la FCC, pero deberán tenerlos disponibles para la Comisión en caso de que sean solicitados.
La FCC ha abierto un período de tres meses para aceptar comentarios públicos sobre sus nuevas propuestas y otras medidas relacionadas con la implementación de la seguridad basada en RPKI.