SCION: La alternativa segura de Suiza al protocolo de enrutamiento BGP

Lo que SCION realmente hace diferente

SCION aborda las fallas de seguridad fundamentales de BGP a través de tres mecanismos interconectados. El primero es el enrutamiento multipath: mientras que el internet actual ofrece una sola ruta entre dos puntos, SCION establece decenas o incluso cientos de rutas paralelas simultáneamente. Si una falla, el sistema se reconecta en milisegundos. Perrig es preciso sobre el umbral: "El tiempo de reacción humana para estímulos auditivos es aproximadamente 150 milisegundos. Podemos reconectar en menos tiempo que eso".

El segundo mecanismo es la validación criptográfica de rutas. Cada paquete en una red SCION lleva prueba criptográfica de que su ruta ha sido autorizada por las redes a lo largo del camino. Esto previene secuestros y filtraciones de rutas a nivel arquitectónico, en lugar de hacerlo mediante complementos como RPKI o BGPsec.

Estado actual de implementación

SCION ya está probado en sectores bancarios y de salud, pero ha sido lento en extenderse a otros lugares. El sistema ha estado operativo en las redes financieras de Suiza desde 2016 y maneja miles de millones en transacciones diarias. Los principales bancos suizos lo usan para transferencias interbancarias, y las redes de salud suizas lo usan para datos de pacientes.

Adrian Perrig, profesor de ciencias de la computación en ETH Zúrich y arquitecto principal de SCION, lanzó el proyecto en 2009 después de obtener su titularidad. Su frustración central era simple: las mismas vulnerabilidades habían sido documentadas desde los años 80, y nadie había intentado solucionarlas a nivel arquitectónico. "Las mejores empresas de seguridad del mundo siguen siendo explotadas a través de ellas", dice. "Ni siquiera ha habido un intento de abordarlas adecuadamente".

Arquitectura técnica

SCION reemplaza el enrutamiento basado en confianza de BGP con validación criptográfica de rutas. A diferencia de los parches incrementales de BGP (RPKI, BGPsec, ROA), SCION rediseña completamente los fundamentos del enrutamiento. Kevin Curran, profesor de ciberseguridad en la Universidad del Ulster que ha estado enseñando redes de computadoras durante 27 años, ofrece una evaluación independiente: "Lo que hemos tenido durante más de 40 años es una serie de curitas. Nada se ha acercado a abordar la necesidad de rutas verdaderamente seguras a través de una red adversaria".

Las propiedades de aislamiento del sistema permiten que las redes operen independientemente mientras siguen participando en el enrutamiento global. Esto aborda la falta de cadena de custodia criptográfica de BGP para los viajes de paquetes y su lento proceso de reconexión que puede tomar minutos durante fallos de red.