Redirecting you to
Click if you are not redirected within 5 seconds
Entrada de blog may. 19, 2025

Open MPIC: el camino open source hacia una validación multi-perspectiva segura

Open MPIC es un marco open source que ayuda a las AC a cumplir con MPIC. Convalidación distribuida, lógica de quórum y despliegue flexible, es una respuesta moderna a los ataques BGP.

Tabla de Contenidos

1. El problema: los ataques BGP a la validación de dominios
2. La solución: corroboración de emisión multiperspectiva (MPIC)
3. ¿Qué es Open MPIC?
4. ¿Qué le depara el futuro a Open MPIC?
5. Un compromiso más amplio con la seguridad de código abierto

Las autoridades de certificación (CA) están ahora bajo presión.

Los nuevos requisitos básicos del CA/Browser Forum, concretamente la sección 3.2.2.9, introducen una implementación gradual de la corroboración de emisión multiperspectiva (MPIC). Estas normas tienen por objeto poner fin a un tipo de exploit peligroso: el secuestro del protocolo de puerta de enlace fronteriza (BGP).

El BGP es un sistema con décadas de antigüedad que ayuda a enrutar el tráfico de Internet, pero no se diseñó teniendo en cuenta la seguridad. Los atacantes pueden abusar del BGP para redirigir silenciosamente las solicitudes, incluidas las comprobaciones de validación de dominios utilizadas por las CA, creando una pequeña ventana para suplantar sitios web y engañar a una CA para que emita un certificado fraudulento.

De hecho, los ataques BGP se han convertido en un problema tan grave que incluso el Gobierno de los Estados Unidos ha expresado su preocupación al respecto.

La solución a los ataques BGP es validar una entrada DNS desde múltiples lugares separados en la jerarquía de Internet («múltiples perspectivas»). Por lo tanto, las nuevas reglas MPIC exigen a las CA que validen el control de dominios y los registros CAA desde múltiples puntos de vista globales. Y para ayudar a las CA a conseguirlo, Sectigo está ayudando a liderar el desarrollo de Open MPIC: un marco de código abierto impulsado por la comunidad y creado originalmente por investigadores de Princeton.

Profundicemos en los ataques BGP, cómo los detiene MPIC y cómo Sectigo está contribuyendo al ecosistema Open MPIC.

El problema: los ataques BGP a la validación de dominios

Cuando una CA realiza una comprobación de control de dominio, asume que el tráfico que envía llega al servidor correcto. Pero eso no siempre es cierto.

El secuestro de BGP permite a los atacantes redirigir silenciosamente el tráfico en Internet. No rompe el cifrado ni compromete un servidor, simplemente cambia las señales de tráfico. Si una CA solo valida desde la perspectiva de una única red, puede ser engañada y pensar que un dominio está bajo el control del solicitante cuando no es así.

«Lo que hace que el secuestro de BGP sea tan peligroso es que no es necesario secuestrar la ruta durante mucho tiempo para tener éxito», afirma Dmitry Sharkov, arquitecto principal de Sectigo y arquitecto jefe de Open MPIC. «Se puede desviar brevemente la comprobación de validación de una CA a un servidor malicioso, engañarla para que emita un certificado legítimo y luego desaparecer. Eso es todo lo que se necesita».

Sharkov compara el secuestro de BGP con una escena de Misión imposible: Protocolo fantasma:

«Dos malhechores creen que se van a encontrar en un hotel, pero uno de ellos está hablando en realidad con Tom Cruise disfrazado. Han sido engañados por un truco con los carteles. Eso es exactamente lo que ocurre en un secuestro de BGP, salvo que quien es engañado es la CA».

Las consecuencias son graves: una vez emitido un certificado fraudulento, puede utilizarse para suplantar sitios legítimos e interceptar el tráfico cifrado.

La solución: corroboración de emisión multiperspectiva (MPIC)

La solución consiste en hacer que la validación de certificados dependa menos de una sola ruta. Esa es la idea detrás de MPIC.

En lugar de validar un dominio desde una única ubicación de red, la MPIC exige a las CA que realicen comprobaciones desde múltiples puntos de vista geográficamente diversos. Si una región es engañada por un secuestro de BGP, otras pueden detectar la discrepancia y detener la emisión del certificado.

«Las CA deben ahora confirmar el control del dominio desde puntos de vista distintos y distantes», afirma Sharkov. «Esto no es opcional, se está convirtiendo en la norma».

Desde el 15 de marzo de 2025, las CA están obligadas a supervisar las validaciones de dominios utilizando al menos dos perspectivas de red remotas. El 15 de septiembre entrará en vigor la aplicación de la norma, que exigirá una lógica de quórum para garantizar que, si una sola perspectiva discrepa, se pueda detener la emisión. Y desde el 15 de marzo hasta el 15 de diciembre de 2026, el listón se eleva de nuevo, con una implantación gradual hacia cinco perspectivas geográficamente diversas.

El objetivo es claro: hacer que sea estadísticamente improbable que un atacante engañe a todas las perspectivas a la vez.

¿Qué es Open MPIC?

Open MPIC es un marco de código abierto diseñado para ayudar a las CA a cumplir los requisitos de MPIC sin tener que reinventar su pila de validación.

Comenzó como una prueba de concepto de investigadores de la Universidad de Princeton: solo tres scripts de Python destinados a probar la viabilidad de MPIC. Ahora, Sharkov, de Sectigo, está liderando la arquitectura y trabajando en colaboración con los cofundadores Henry Birge-Lee y Grace Cimaszewski para desarrollar y mantener la biblioteca central del proyecto, las especificaciones de la API y las soluciones de implementación.

«No queríamos que las CA tuvieran que empezar desde cero o desarrollar sus propias soluciones frágiles», afirma Sharkov. «Open MPIC les da una ventaja inicial: es abierto, extensible y listo para escalar».

Open MPIC admite actualmente dos opciones de implementación principales:

  • AWS Lambda: una configuración sin servidor que se escala automáticamente. Ideal para CA que desean una validación rápida y elástica con una sobrecarga mínima.
  • Microcontenedores Docker: para un control total. Impleméntelo en producción en EC2 o Kubernetes y pruébelo localmente con Docker Compose.

Las funciones integradas incluyen lógica de quórum, aplicación de la distancia y diversidad de perspectivas, todo ello en consonancia con las normas MPIC del CA/B Forum.

«Puedes configurar Open MPIC para que se ejecute en tres regiones hoy y en quince mañana», afirma Sharkov. «Admite la lógica de selección de perspectiva, por lo que cumples con requisitos como la separación mínima de 500 km y la diversidad del registro regional».

Por último, Open MPIC no es un artefacto académico ni un repositorio único. Lo mantienen conjuntamente Sectigo y Princeton, con comentarios activos e informes de errores de otras CA.

«Tenemos un Slack en directo con CA que plantean preguntas sobre la implementación, envían problemas e incluso sugieren nuevas funciones», afirma Sharkov. «Algunos colaboradores permanecen en el anonimato, pero el ciclo de comentarios ya está fortaleciendo el proyecto».

¿Qué le depara el futuro a Open MPIC?

A medida que más CA se preparan para la aplicación completa de MPIC el 15 de septiembre de 2025, Open MPIC se está preparando para la escala real. Sharkov señala que el proyecto evolucionará en varios frentes: rendimiento, compatibilidad con funciones y capacidad de respuesta a los comentarios del sector.

«En un futuro bastante inmediato, se seguirá ajustando el rendimiento, solo desde el punto de vista de la usabilidad», afirma Sharkov. «A medida que las CA, incluida, por supuesto, Sectigo, empiecen a utilizar Open MPIC a pleno rendimiento, queremos asegurarnos de que puede gestionar ese volumen de forma eficaz».

Uno de los próximos hitos importantes es la compatibilidad con MPIC para las validaciones S/MIME, tal y como se exige en las fases futuras de los requisitos básicos del CA/B Forum. Más allá de eso, Open MPIC se posiciona como una base flexible y dirigida por la comunidad que puede crecer con el ecosistema.

«Es posible que podamos utilizarlo tal cual, pero eso depende realmente de lo que aprenda la comunidad, y lo que aprenda Sectigo, a medida que utilicemos Open MPIC a gran escala», afirma Sharkov. «Si los requisitos cambian o descubrimos áreas de mejora, estamos en una buena posición para adaptarnos. Open MPIC está diseñado para evolucionar».

Un compromiso más amplio con la seguridad de código abierto

Open MPIC sienta las bases para un modelo de validación de dominios más resistente, en el que la emisión de certificados depende del consenso, no de la confianza en una única ruta.

MPIC ya no es una idea teórica, es una política. Y Open MPIC es un marco de trabajo funcional y de código abierto que ayuda a las CA a implementarla sin tener que empezar desde cero.

Contribuir a WebPKI es un principio fundamental de cualquier CA de renombre. Sectigo lleva mucho tiempo contribuyendo a la infraestructura compartida que hay detrás de varios proyectos WebPKI de código abierto, entre los que se incluyen la transparencia de los certificados (crt.sh), la validación de linting (pkimetal, zlint, certlint) y las herramientas del ecosistema (Certbot, registros CT, firma cruzada de CA). Sectigo, que ocupa más puestos de liderazgo en el CA/Browser Forum que cualquier otra CA, también contribuye regularmente a la elaboración de normas, las implementa rápidamente y ayuda al ecosistema a adoptarlas a gran escala.

Open MPIC continúa esa labor, ofreciendo una solución práctica y alineada con las normas para una amenaza muy real.

Si está interesado en participar en el desarrollo de Open MPIC, no dude en unirse al espacio de trabajo de Slack (openmpic.slack.com) y a la lista de correo.

Encontrará más información en el sitio web de Open MPIC.

Entradas asociadas:

Root Causes 327: ¿Qué es la validación de dominio multiperspectiva? (MPIC)

Root Causes 441: La nueva iniciativa de la Casa Blanca apunta al BGP

Root Causes 216: ¿Qué es crt.sh?