Cloudflare publicó los resultados de una investigación sobre recientes secuestros de rutas BGP en los que atacantes aprovecharon números de sistema autónomo (ASN) sin uso para fabricar trayectorias AS_PATH falsificadas hacia destinos legítimos, entre ellos prefijos de Orange S.A. y de la propia Cloudflare. La compañía identificó a Gcore (AS199524) como una de las redes que omite la verificación del "primer AS" en las rutas que recibe de sus clientes, lo que facilitó la propagación de los anuncios hijackeados a proveedores ascendentes y pares.
Los ataques siguieron un patrón de tres pasos: anunciar prefijos "estacionados" (parked), falsificar por completo la trayectoria AS_PATH sin incluir el ASN del propio atacante y enviar la ruta a Gcore, que la aceptó y la propagó hacia arriba, dirigiendo el tráfico a un punto en Chicago detrás de su peering. Los anuncios analizados incluían ASNs no usados de Orange Francia, Cloudflare y Charter en posiciones lógicamente imposibles, como una ASN francesa comprando tránsito a ISP mexicanos. Cloudflare subraya que la comprobación del primer AS, una salvaguarda básica ya contemplada en el protocolo BGP, habría detenido estos secuestros. La compañía recuerda que, aunque el mecanismo ASPA ayudará a invalidar trayectorias falsificadas, los atacantes pueden esquivarlo si incluyen un AS de origen válido para RPKI-ROV o un ASPA legítimo, por lo que el chequeo del primer AS sigue siendo la defensa más eficaz contra este tipo de ataque.