Imagen: Mark Rademaker, a través de Shutterstock. Ucrania ha visto casi una quinta parte de su espacio en Internet en control ruso o vendido a corredores de direcciones de Internet desde febrero de 2022, según un nuevo estudio. El análisis indica que las grandes fragmentos de espacio de direcciones de Internet ucraniana están ahora en manos de servicios de proxy y anonimato sombríos que están anidados en algunos de los proveedores de servicios de Internet (ISP) más grandes de Estados Unidos. Los hallazgos se producen en un informe que examina cómo la invasión rusa ha afectado el suministro nacional de las direcciones del Protocolo de Internet de Internet (IPv4). Los investigadores de Kentik, una compañía que mide el rendimiento de las redes de Internet, encontraron que si bien la mayoría de los ISP en Ucrania no han cambiado mucho su infraestructura desde que comenzó la guerra en 2022, otros han recurrido a vender franjas de su valioso espacio de direcciones IPv4 solo para mantener las luces encendidas. Por ejemplo, el ISP titular de Ucrania Ukrtelecom ahora está enrutando solo el 29 por ciento de los rangos de dirección IPv4 que la compañía controlaba al comienzo de la guerra, encontró Kentik. Aunque gran parte de ese antiguo espacio de propiedad intelectual permanece inactivo, Ucrtelecom le dijo a Doug Madory de Kentik que se vieron obligados a vender muchos de sus bloques de direcciones «para asegurar la estabilidad financiera y continuar brindando servicios esenciales». «El arrendamiento de una parte de nuestros recursos de IPv4 nos permitió mitigar algunos de los extraordinarios desafíos que hemos enfrentado desde que comenzó la invasión a gran escala», dijo UcrTelecom a Madory. Madory descubrió que gran parte del espacio IPv4 asignado previamente a Ukrtelecom ahora está disperso a más de 100 proveedores a nivel mundial, particularmente en tres grandes ISP estadounidenses: Amazon (AS16509), AT&T (AS7018) y Cogent (AS174). Otro proveedor de Internet ucraniano, LVS (AS43310), en 2022 estaba enrutando aproximadamente 6,000 direcciones IPv4 en todo el país. Kentik se enteró de que en noviembre de 2022, gran parte de ese espacio de dirección había sido repartido por más de una docena de ubicaciones diferentes, y la mayor parte se anunció en AT&T. Las direcciones IP enrutadas con el tiempo por el proveedor ucraniano LVS (AS43310) muestran una gran parte de TI enrutada por AT&T (AS7018). Imagen: Kentik. Lo mismo ocurre con el ISP TVCOM ucraniano, que actualmente enruta casi 15,000 direcciones IPv4 menos que al comienzo de la guerra. Madory dijo que la mayoría de esas direcciones se han dispersado a otras 37 redes fuera del este de Europa, incluidos Amazon, AT&T y Microsoft. La Trinidad ISP ucraniana (AS43554) se desconectó a principios de marzo de 2022 durante el sangriento asedio de Mariupol, pero su espacio de direcciones finalmente comenzó a aparecer en más de 50 redes diferentes en todo el mundo. Madory encontró que más de 1,000 de las direcciones IPv4 de Trinity aparecieron repentinamente en la red de AT&T. ¿Por qué todas estas antiguas direcciones IP ucranianas están enrutadas por redes con sede en Estados Unidos como AT&T? Según Spur.us, una compañía que rastrea los servicios de VPN y proxy, casi todos los rangos de dirección identificados por Kentik ahora asignan a los servicios comerciales de poder que permiten a los clientes enrutar anónimamente su tráfico en Internet a través de la computadora de otra persona. Desde la perspectiva de un sitio web, el tráfico de un usuario de la red proxy parece originarse en la dirección IP alquilada, no del cliente del servicio proxy. Estos servicios se pueden utilizar para varios fines comerciales, como comparaciones de precios, inteligencia de ventas, rastreadores web y bots de choque de contenido. Sin embargo, los servicios proxy también están abusados ​​masivamente para ocultar la actividad del delito cibernético porque pueden dificultar rastrear el tráfico malicioso hasta su fuente original. Los rangos de dirección IPv4 siempre tienen una gran demanda, lo que significa que también son bastante valiosos. Ahora hay múltiples compañías que pagarán a los ISP para arrendar su espacio de direcciones IPv4 no deseado o no utilizado. Madory dijo que estos corredores IPv4 pagarán entre $ 100 y $ 500 por mes para arrendar un bloque de 256 direcciones IPv4, y muy a menudo las entidades más dispuestas a pagar esas tarifas de alquiler son proveedores de representación y VPN. Una revisión superficial de todos los bloques de direcciones de Internet actualmente enrutados a través de AT&T, como se ve en los registros públicos mantenidos por el proveedor de la troncal de Internet Hurricane Electric, muestra una preponderancia de banderas de países distintas de los Estados Unidos, incluidas las redes que se originan en Hungría, Lituania, Moldavia, Mauricio, Palestina, Seychelles, Slovenia y Ukraine. El espacio de direcciones IPv4 de AT&T parece estar enrutando una gran cantidad de tráfico proxy, incluida una gran cantidad de rangos de direcciones IP que hasta hace poco fueron enrutadas por ISP en Ucrania. Cuando se le preguntó sobre la aparente alta incidencia de servicios proxy enrutamiento de bloques de direcciones extranjeras a través de AT&T, el gigante de las telecomunicaciones dijo que recientemente cambió su política sobre las rutas de origen para los bloques de redes que no son propiedad y administrados por AT&T. Esa nueva política, explicada en una actualización de febrero de 2025 a los términos de servicio de AT&T, ofrece a esos clientes hasta el 1 de septiembre de 2025 para originar su propio espacio IP de su propio número de sistema autónomo (ASN), un número único asignado a cada ISP (AT&T es AS7018). «Para garantizar que nuestros clientes reciban la mejor calidad de servicio, cambiamos nuestros términos para Internet dedicado en febrero de 2025», dijo un portavoz de AT&T en una respuesta enviada por correo electrónico. «Ya no permitimos rutas estáticas con direcciones IP que no hemos proporcionado. Hemos estado en el proceso de identificar y notificar a los clientes afectados que tienen 90 días para hacer la transición al enrutamiento del Protocolo de Border Gateway utilizando su propio número de sistema autónomo». Irónicamente, la co-cegación del espacio de direcciones IP ucranianas con proveedores de poder ha resultado en que muchas de estas direcciones se usen en ataques cibernéticos contra Ucrania y otros enemigos de Rusia. A principios de este mes, la Unión Europea sancionó a Stark Industries Solutions Inc., un ISP que surgió dos semanas antes de la invasión rusa y rápidamente se convirtió en la fuente de ataques DDoS a gran escala e intentos de phishing de lanza por parte de grupos de piratería patrocinados por el estado ruso. Una inmersión profunda en el considerable espacio de direcciones de Stark mostró que parte de ella se obtuvo de los ISP ucranianos, y la mayor parte estaba conectada con los servicios de representación y anonimato con sede en Rusia. Según Spur, el servicio proxy iproyal es el beneficiario actual de los bloques de direcciones IP de varios ISP ucranianos perfilados en el informe de Kentik. Los clientes pueden elegir proxies especificando la ciudad y el país por el que se presentarían su tráfico. Imagen: Trend Micro. El director de tecnología de Spur, Riley Kilmer, dijo que el cambio de política de AT&T probablemente obligará a muchos servicios de poder a migrar a otros proveedores estadounidenses que tienen políticas menos estrictas. «AT&T es el primero de los grandes ISP que parece estar haciendo algo al respecto», dijo Kilmer. «Hacemos un seguimiento de varios servicios que venden explícitamente direcciones IP de AT&T, y será muy interesante ver qué sucede con esos servicios en septiembre». Aún así, dijo Kilmer, hay varios otros ISP de EE. UU. Que continúan facilitando que los servicios proxy traigan sus propias direcciones IP y las alojen en rangos que dan la apariencia de clientes residenciales. Por ejemplo, el informe de Kentik identificó a los ex rangos de IP ucranianos que aparecen como servicios proxy enrutados por Cogent Communications (AS174), un proveedor de backbone de Internet de nivel uno con sede en Washington, DC Kilmer dijo que Cogent se ha convertido en una base de hogares atractiva para los servicios de poder de proxy porque es relativamente fácil obtener una idea de la dirección. «Para ser justos, transitan mucho tráfico», dijo Kilmer sobre Cogent. «Pero hay una razón por la cual muchas de estas cosas de proxy aparecen como convincentes: porque es muy fácil obtener algo enrutado allí». Cogent rechazó una solicitud para hacer comentarios sobre los hallazgos de Kentik.