Un Hackeo a Orange provoca una incidencia masiva en la red. Todos los detalles actualizados

Un Hackeo a Orange provoca una incidencia masiva en la red. Todos los detalles actualizados

Javier Sanz

La red de Orange sufrió el día de ayer un ciberataque que provocó problemas de navegación a decenas de miles de clientes de la operadora. Según publicó en exclusiva ADSLZone, un ciberdelincuente hackeó la cuenta de RIPE de la compañía. A continuación, te explicamos los detalles de una incidencia que duró varias horas y que ha sido portada nacional de todos los diarios.  Actualización

El Centro de Coordinación de redes IP europeas (RIPE NCC) es el Registro Regional de Internet para Europa, Oriente Medio y partes de Asia Central. La operadora naranja ha sido objeto de un ataque que ha modificado los objetos de ruta provocando que el sistema autónomo de Orange no sepa encontrar a las redes para poder conectar a Internet. En otras palabras, los clientes de Orange estuvieron aislados y por eso no pudieron navegar correctamente. La incidencia sobre todo afectó a la hora de navegar por páginas que están fuera de España.

El presunto responsable del ataque manifestó lo siguiente en la antigua Twitter: «Miau, miau, miau! He arreglado la seguridad de tu cuenta de administrador de RIPE. Envíame un mensaje para obtener las nuevas credenciales :^)»

El ciberdelincuente se hizo con el acceso a través de un malware de tipo InfoStealer llamado Raccoon. El empleado de la operadora fue infectado por este malware en septiembre, y durante un tiempo estuvo recopilando todas las webs y credenciales que usaba, incluyendo las de RIPE. Entre las credenciales obtenidas estaba el acceso al RIPE con la dirección de email (adminripe-ipnt@orange.es) y la contraseña «ripadmin» que sorprende lo débil que es. Otro fallo de seguridad importante es que la operadora no contaba con doble factor de autentificación para algo tan crítico como el acceso al RIPE.

Según la infornación publicada por los medios especializados, hasta 78 credenciales fueron intervenidos siendo el del RIPE el más crítico.

Las incidencias disparadas en down detector

La incidencia duró desde las 16:00 horas de España hasta cerca de las 20:00. Durante todo ese tiempo los responsables de la operadora tuvieron que recuperar el acceso y restaurar toda la configuración hasta que se propagó por la red. Este tipo de problemas llevan bastante tiempo desde que se aplica la solución hasta que se propaga por el resto de sistemas autónomos (AS) de otros operadores y proveedores de tránsito, por lo que la vuelta a la normalidad normalmente suele estar en unas 4 o 5 horas desde que se ha aplicado la solución. Además, el protocolo RPKI tarda bastante más tiempo en propagarse, así que lo que ha debido de hacer Orange para solucionar esto, es pedir al resto de operadores que quitasen las reglas de RPKI en sus frontera con el objetivo de que no validen este protocolo, para que así la vuelta a la normalidad sea mucho más rápida y los clientes vuelvan a la normalidad lo antes posible.

La red social X también estuvo recogiendo las quejas de los clientes que han convirtieron a «Orange» en tendencia nacional con más de 90.000 mensajes. En RedesZone.net nuestro compañero Sergio de Luz publicó todos los detalles técnicos de la incidencia.

La incidencia afectó a Jazztel, Simyo incluso MásMóvil

El problema se extendió también a otras compañías que utilizan la red de Orange, e incluso hasta los clientes de Movistar y Vodafone notaron la incidencia. Así, por ejemplo, un cliente de Telefónica que quisiera navegar contra algo que sea Orange, no pudo, porque no conoce la ruta hasta el destino. Todo el tráfico se queda en la frontera de los diferentes AS (Sistemas Autónomos), impidiendo que llegue el tráfico correctamente, por lo que se produce la interrupción del servicio. Además, operadores más pequeños que usan como red a Orange, seguramente también se han visto gravemente afectados por este problema, aunque cualquier operador siempre suele usar dos tránsitos diferentes para evitar justamente este problema del operador principal.

En definitiva, se ha tratado de un ciberataque muy elaborado que además ha contado con la colaboración de una seguridad débil por parte de los responsables de la custodia de dicho acceso. Por suerte el acceso ha estado cortado apenas unas horas y todo ha quedado en un susto que a buen seguro obligará a todas las operadoras a extremar las precauciones.

6 Comentarios